“Epic Manchego” compila arquivos maliciosos do Excel usando EPPlus para evitar a detecção

Principais conclusões

Em atividade desde junho de 2020, o grupo de malware apelidado de Epic Manchego tem como alvo empresas em todo o mundo com emails de phishing. 

• Os invasores foram encontrados usando mais de 200 documentos maliciosos para atingir as vítimas em 27 países, incluindo Estados Unidos, República Tcheca, França, Alemanha e China.
• Os e-mails maliciosos foram enviados para os alvos no setor de alumínio e no setor de fabricação de equipamentos médicos, alguém que trabalha no gerenciamento de instalações e um fornecedor de máquinas de prensas personalizadas.
• A Epic Manchego implantou trojans ladrões de informações como Azorult, AgentTesla, Formbook, Matiex e njRat como cargas úteis finais com a intenção de coletar senhas de navegadores e clientes de e-mail, entre outros.

Modus operandi

• Para reduzir a taxa de detecção de documentos maliciosos, os criadores dos documentos maliciosos do Excel usam uma técnica chamada VBA Purging, que lhes permitiu criar pastas de trabalho do Excel carregadas de macros, sem realmente usar o Microsoft Office.
• A turma usa EPPlus, uma biblioteca .NET, para criar planilhas Office Open XML (OOXML) sem código VBA compilado e metadados do Office.

O truque que não funcionou

Os pesquisadores da NVISO descobriram que o experimento do Epic Manchego com arquivos OOXML foi capaz de enganar alguns sistemas de segurança. No entanto, a decisão de usar o EPPlus para gerar seus arquivos Excel maliciosos permitiu que a equipe da NVISO desenterrasse facilmente todas as suas operações anteriores procurando por documentos Excel de aparência estranha.

O resultado final

A partir da análise, fica claro que os hackers do Epic Manchego têm melhorado gradualmente suas habilidades técnicas. Como o grupo parece estar experimentando diferentes técnicas de ataque, os especialistas indicam que podem surgir métodos mais perigosos no futuro.

Fonte: https://cyware.com/news/epic-manchego-compiles-malicious-excel-files-using-epplus-to-avoid-detection-b5230e77