Sicherheitsforscher der NVISO Labs entdeckte eine Malware-Gruppe (genannt: Epic Manchego), die seit Juni aktiv ist und mit Phishing-Emails, in denen ein bösartiges Excel-Dokument steckt, Firmen in der ganzen Welt angreift.
Dokumente statt Excel mit EPPlus erstellt
NVISO sieht die Dokumente aber als Standard-Excel-Tabellen. Diese bösartigen Excel-Dateien umgingen viele Sicherheitsscanner und hatten nur niedrige Erkennungsraten. Das lag daran, dass die Dokumente nicht mit der Standardsoftware Excel aus Microsoft Office, sondern mit der .NET-Bibliothek EPPlus erstellt wurden.
Entwickler benutzen diese Bibliothek gerne, um Funktionen wie „Als Excel exportieren“ oder „Als Tabellenkalkulation speichern“ ohne großen eigenen Aufwand ihren Anwendungen hinzuzufügen. Die Bibliothek EPPlus kann zur Erzeugung von Dateien in vielen Tabellenkalkulationsformaten verwendet werden und unterstützt sogar das neueste Excel 2019.
Wie der Angriff funktioniert
Die Epic Manchego-Gruppe hat EPPlus offenbar benutzt, um damit Tabellenkalkulations-Dateien (Spreadsheets) im Office Open XML (OOXML)-Format zu erzeugen.
Den von Epic Manchego erzeugten OOXML-Tabellenkalkulationsdateien fehlte allerdings ein Teil des kompilierten VBA-Codes, der spezifisch für von Excel erstellte Dokumente ist.
Mehrere Antiviren-Produkte und Email-Scanner suchen speziell nach diesem Teil des VBA-Codes, um mögliche Anzeichen für bösartige Excel-Dokumente zu finden. Das erklärt, warum von Epic Manchego erstellte Spreadsheets niedrigere Erkennungsraten haben als andere bösartige Excel-Dateien.
NVISO fand heraus, dass Epic Manchego ihren bösartigen Code einfach in einem benutzerdefinierten VBA-Codeformat speicherten, das auch kennwortgeschützt war, um Sicherheitssysteme und Forscher daran zu hindern, den Inhalt zu untersuchen.
Was passiert, wenn man die Bearbeitung aktiviert
Die bösartigen Excel-Dokumente (auch Maldocs genannt) enthalten ein bösartiges Makroskript. Öffnen Benutzer die Excel-Dateien und erlauben die Ausführung des Skripts (durch Klicken auf die Schaltfläche „Bearbeitung aktivieren“), laden die Makros Malware aus dem Internet nach und installieren sie auf den betroffenen Rechnern.
Installiert wurden bei bisherigen Angriffen typische Infostealer-Trojaner wie Azorult, AgentTesla, Formbook, Matiex und njRat, die Passwörter aus den Browsern, Emails und FTP-Clients der Benutzer ausspähten und auf die Server von Epic Machengo übertrugen.