查看: 1385|回复: 1
收起左侧

[安全行业] Excel 4.0宏被黑客滥用以传播恶意软件

[复制链接]
朦胧的风
发表于 2021-4-30 12:22:39 | 显示全部楼层 |阅读模式
根据最新研究,黑客们越来越多地使用Excel 4.0文件作为初始载体来传播ZLoader和Quakbot等恶意软件。

1619676771_608a4e6358143f764ffd8.png

上述发现是通过对2020年11月至2021年3月期间16万份Excel 4.0文件进行分析而来,其中90%以上被归类为恶意或可疑文件。

1619676786_608a4e72970c2072b7f9f.png

ReversingLabs的研究人员在4月28日发布的一份报告中表示,对于被当作目标的企业和个人来说,最大的威胁是用来检测恶意Excel 4.0文件的安全解决方案仍然存在很多问题,这让许多恶意Excel文件在传统的基于签名的检测以及YARA规则中溜走。

1619676817_608a4e9108f633faeaa88.png

通过Excel被传播的Quakbot(又名QBOT)木马,能够窃取银行凭证和其他金融信息。并且,该木马还拥有类似蠕虫病毒的传播特性,通常通过武器化的Office文档进行传播,是一个臭名昭著的银行木马。

而QakBot的变种则变本加厉,拥有更多功能。其变种目前已经能够传播其他恶意软件的有效载荷、记录用户的击键,甚至能够在目标设备上创建一个后门。

在ReversingLabs的分析报告中,该恶意软件不仅用十分可信的诱饵诱骗用户启用宏,并且还附带了一个含XLM宏的嵌入式文件。该文件能够下载并执行从远程服务器检索而来的恶意第二阶段有效载荷。

另有一个样本内包含了一个Base64编码的有效载荷,其试图从一个简略的URL下载其他恶意软件。

Excel 4.0宏(XLM)是Visual Basic for Applications(VBA)的前身,是出于向下兼容的需求而被纳入Microsoft Excel的一个遗留功能。微软在其支持文件中也曾警告,如果启用所有的宏将会导致 "潜在危险代码 "的运行。

对此,研究人员指出,尽管向下兼容非常重要,但从安全的角度来看,维护30年前的宏会带来重大的安全风险。这些宏应该有一个预期寿命,在某个合适的时间点被废弃可能才是最好的解决方案。

https://www.freebuf.com/news/271529.html
cfdiyr
发表于 2021-5-1 02:14:47 | 显示全部楼层
说个不恰当的比喻。这不就相当于风投中的风险管控吗?有些话不要说的太明白吧。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 23:17 , Processed in 0.158458 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表