Обнаруженное семейство вредоносного ПО использует хитрый трюк для создания вредоносных файлов MS Excel с минимальной степенью обнаружения и повышенной вероятностью обхода систем безопасности.
Выявленное специалистами по информационной безопасности из NVISO Labs семейство вредоносного ПО, которое получило название Epic Manchego, «работает» с июня 2020 г. и атакует организации из разных стран с применением фишинговых email, содержащих измененный файл Excel. Но в NVISO Labs отметили, что это не обычные таблицы Excel – файлы Excel успешно обходят антивирусное ПО и редко обнаруживаются системами безопасности.
Эксперты установили, что файлы Excel были созданы не в обычной программе MS Office, а в библиотеке .NET под названием EPPlus.
В NVISO Labs говорят о том, что киберпреступная группировка Epic Manchego с высокой долей вероятности использовала EPPlus для формирования файлов Excel в формате Office Open XML (OOXML). В файлах OOXML, созданных хакерами, не было раздела скомпилированного кода VBA, характерного для файлов Excel, скомпилированных в традиционной программе Microsoft Office.
Ряд антивирусных решений и сканеры безопасности email стараются найти эту часть кода VBA для обнаружения вероятных признаков вредоносных файлов Excel, поэтому вполне понятно, по какой причине файлы Excel, созданные группировкой Epic Manchego, обладают минимальными показателями детектирования, в отличие от остальных вредоносов Excel.
Вредоносные файлы Excel имеют встроенный макрос. Жертвы, запустившие файлы Excel и разрешившие редактирование, сталкивались с тем, что макросы скачивали и устанавливали вирусное ПО в скомпрометированной системе.
Последними полезными нагрузками были традиционные трояны-инфостилеры – они необходимы для сброса авторизационных данных в веб-браузерах пользователей, почтовых сервисах и FTP-клиентах, и отправки их на серверы группировки Epic Manchego. В итоге в NVISO Labs указали на то, что обнаружено несколько сотен видов вредоносов Excel, которые связаны с Epic Manchego.