Bösartige Excel-Dateien in Phishing-Mails

Sicherheitsforscher der NVISO Labs entdeckte eine Malware-Gruppe (genannt: Epic Manchego), die seit Juni aktiv ist und mit Phishing-Emails, in denen ein bösartiges Excel-Dokument steckt, Firmen in der ganzen Welt angreift.

Dokumente statt Excel mit EPPlus erstellt

NVISO sieht die Dokumente aber als Standard-Excel-Tabellen. Diese bösartigen Excel-Dateien umgingen viele Sicherheitsscanner und hatten nur niedrige Erkennungsraten. Das  lag daran, dass die Dokumente nicht mit der Standardsoftware Excel aus Microsoft Office, sondern mit der .NET-Bibliothek EPPlus erstellt wurden.

Entwickler benutzen diese Bibliothek gerne, um Funktionen wie „Als Excel exportieren“ oder „Als Tabellenkalkulation speichern“ ohne großen eigenen Aufwand ihren Anwendungen hinzuzufügen. Die Bibliothek EPPlus kann zur Erzeugung von Dateien in vielen Tabellenkalkulationsformaten verwendet werden und unterstützt sogar das neueste Excel 2019.

Wie der Angriff funktioniert

Die Epic Manchego-Gruppe hat EPPlus offenbar benutzt, um damit Tabellenkalkulations-Dateien (Spreadsheets) im Office Open XML (OOXML)-Format zu erzeugen.

Den von Epic Manchego erzeugten OOXML-Tabellenkalkulationsdateien fehlte allerdings ein Teil des kompilierten VBA-Codes, der spezifisch für von Excel erstellte Dokumente ist.

Mehrere Antiviren-Produkte und Email-Scanner suchen speziell nach diesem Teil des VBA-Codes, um mögliche Anzeichen für bösartige Excel-Dokumente zu finden. Das erklärt, warum von Epic Manchego erstellte Spreadsheets niedrigere Erkennungsraten haben als andere bösartige Excel-Dateien.

NVISO fand heraus, dass Epic Manchego ihren bösartigen Code einfach in einem benutzerdefinierten VBA-Codeformat speicherten, das auch kennwortgeschützt war, um Sicherheitssysteme und Forscher daran zu hindern, den Inhalt zu untersuchen.

Was passiert, wenn man die Bearbeitung aktiviert

Die bösartigen Excel-Dokumente (auch Maldocs genannt) enthalten ein bösartiges Makroskript. Öffnen Benutzer die Excel-Dateien und erlauben die Ausführung des Skripts (durch Klicken auf die Schaltfläche „Bearbeitung aktivieren“), laden die Makros Malware aus dem Internet nach und installieren sie auf den betroffenen Rechnern.

Installiert wurden bei bisherigen Angriffen typische Infostealer-Trojaner wie Azorult, AgentTesla, Formbook, Matiex und njRat, die Passwörter aus den Browsern, Emails und FTP-Clients der Benutzer ausspähten und auf die Server von Epic Machengo übertrugen.

Über Klaus

Ich beschäftige mich schon seit 40 Jahren mit dem Internet. Meine Schwerpunkte sind Seitenerstellung, Programmierung, Analysen, Recherchen und Texte (auch Übersetzungen aus dem Englischen oder Niederländischen), Fotografie und ganz besonders die sozialen Aspekte der "Brave New World" oder in Merkel-Neusprech des "Neulands".
Dieser Beitrag wurde unter Browser, Internet, News, Programmierung, Sicherheit, Soziales, Tipps und Tricks, Wirtschaft abgelegt und mit , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.