Grupo usa a biblioteca .NET para gerar documentos Excel que contornam verificações de segurança
Eles ainda eram documentos do Excel. Apenas não seus arquivos típicos do Excel. O suficiente para enganar alguns sistemas de segurança, no entanto.
Uma gangue de malware recém-descoberta está usando um truque inteligente para criar arquivos maliciosos do Excel com baixas taxas de detecção e maior chance de escapar dos sistemas de segurança.
Descoberta por pesquisadores de segurança da NVISO Labs, essa gangue de malware – que eles chamaram de Epic Manchego – está ativa desde junho, visando empresas em todo o mundo com e-mails de phishing que contêm um documento malicioso do Excel.
Mas a NVISO disse que essas não eram suas planilhas Excel padrão. Os arquivos maliciosos do Excel estavam ignorando os scanners de segurança e tinham baixas taxas de detecção.
Arquivos maliciosos do Excel foram compilados com EPPlus
De acordo com a NVISO, isso ocorreu porque os documentos não foram compilados no software padrão do Microsoft Office, mas com uma biblioteca .NET chamada EPPlus .
Os desenvolvedores normalmente usam essa parte da biblioteca de seus aplicativos para adicionar funções “Exportar como Excel” ou “Salvar como planilha”. A biblioteca pode ser usada para gerar arquivos em uma ampla variedade de formatos de planilhas e até suporta Excel 2019.
A NVISO diz que a gangue da Epic Manchego parece ter usado EPPlus para gerar arquivos de planilha no formato Office Open XML (OOXML).
Os arquivos de planilha OOXML gerados pelo Epic Manchego careciam de uma seção de código VBA compilado, específico para documentos Excel compilados no software Office proprietário da Microsoft.
Alguns produtos antivírus e verificadores de e-mail procuram especificamente por essa parte do código VBA para pesquisar possíveis sinais de documentos Excel maliciosos, o que explicaria por que as planilhas geradas pela gangue Epic Manchego tinham taxas de detecção mais baixas do que outros arquivos Excel maliciosos.
Esse blob de código VBA compilado geralmente é onde o código malicioso de um invasor seria armazenado. No entanto, isso não significa que os arquivos estavam limpos. A NVISO diz que o Epic Manchego simplesmente armazenava seu código malicioso em um formato de código VBA personalizado, que também era protegido por senha para evitar que sistemas de segurança e pesquisadores analisassem seu conteúdo.
Mas, apesar de usar um método diferente para gerar seus documentos Excel maliciosos, os arquivos de planilha baseados em EPPlus ainda funcionavam como qualquer outro documento Excel.
Ativo desde junho
Os documentos maliciosos (também chamados de maldocs ) ainda continham um script de macro malicioso. Se os usuários que abriram os arquivos do Excel permitissem a execução do script (clicando no botão “Habilitar edição”), as macros baixariam e instalariam malware nos sistemas da vítima.
As cargas úteis finais eram cavalos de Tróia clássicos do infostealer como Azorult, AgentTesla, Formbook, Matiex e njRat, que despejavam as senhas dos navegadores, e-mails e clientes FTP do usuário e as enviavam para os servidores do Epic Machengo.
Embora a decisão de usar EPPlus para gerar seus arquivos Excel maliciosos possa ter trazido alguns benefícios, no início, também acabou prejudicando a Epic Manchego no longo prazo, pois permitiu que a equipe NVISO detectasse facilmente todas as suas operações anteriores por meio de pesquisas para documentos Excel de aparência estranha.
No final, a NVISO disse ter descoberto mais de 200 arquivos Excel maliciosos vinculados ao Epic Manchego, com o primeiro datando de 22 de junho deste ano.
A NVISO diz que este grupo parece estar experimentando essa técnica e, desde os primeiros ataques, eles aumentaram tanto sua atividade quanto a sofisticação de seus ataques, sugerindo que isso pode ter um uso mais amplo no futuro.
No entanto, os pesquisadores da NVISO não ficaram totalmente surpresos com o fato de grupos de malware agora usarem o EPPlus.
“Estamos familiarizados com esta biblioteca .NET, pois a usamos há alguns anos para criar documentos maliciosos (” maldocs “) para nossa equipe vermelha e testadores de penetração”, disse a empresa.
