Manipulierte Excel-Dateien in Phishing-Mails

Die von Sicherheitsforschern der NVISO Labs entdeckte Malware-Bande – die sie Epic Manchego nannten – ist seit Juni aktiv und zielt mit Phishing-E-Mails, die ein bösartiges Excel-Dokument enthalten, auf Unternehmen in der ganzen Welt ab.

Laut NVISO sind das aber Standard-Excel-Tabellen. Die bösartigen Excel-Dateien umgingen Sicherheitsscanner und hatten niedrige Erkennungsraten. Laut NVISO lag dies daran, dass die Dokumente nicht mit der Standard-Software Microsoft Office, sondern mit einer .NET-Bibliothek namens EPPlus erstellt wurden.

Entwickler verwenden diesen Bibliotheksteil ihrer Anwendungen in der Regel, um die Funktionen „Als Excel exportieren“ oder „Als Tabellenkalkulation speichern“ hinzuzufügen. Die Bibliothek kann zur Generierung von Dateien in einer Vielzahl von Tabellenkalkulationsformaten verwendet werden und unterstützt sogar Excel 2019.

NVISO sagt, dass die Epic Manchego-Bande offenbar EPPlus verwendet hat, um Tabellenkalkulationsdateien im Office Open XML (OOXML)-Format zu erzeugen.

Den von Epic Manchego erzeugten OOXML-Tabellenkalkulationsdateien fehlte ein Teil des kompilierten VBA-Codes, der spezifisch für Excel-Dokumente ist, die in der proprietären Office-Software von Microsoft kompiliert wurden.

Einige Antiviren-Produkte und E-Mail-Scanner suchen speziell nach diesem Teil des VBA-Codes, um nach möglichen Anzeichen für bösartige Excel-Dokumente zu suchen, was erklären würde, warum von der Epic Manchego-Bande erstellte Tabellenkalkulationen niedrigere Erkennungsraten hatten als andere bösartige Excel-Dateien.

Die kompilierten VBA-Codes sind normalerweise der Ort, an dem der bösartige Code eines Angreifers gespeichert wird. Das bedeutet jedoch nicht, dass die Dateien sauber waren.

NVISO sagt, dass die Epic Manchego-Bande ihren bösartigen Code einfach in einem benutzerdefinierten VBA-Codeformat speicherte, das ebenfalls kennwortgeschützt war, um Sicherheitssysteme und Forscher daran zu hindern, seinen Inhalt zu analysieren.

Doch obwohl sie ihre bösartigen Excel-Dokumente mit einer anderen Methode erzeugten, funktionierten die EPPlus-basierten Tabellenkalkulationsdateien nach wie vor wie jedes andere Excel-Dokument.

Die bösartigen Excel-Dokumente (auch Maldocs genannt) enthalt ein bösartiges Makroskript. Wenn Benutzer, die die Excel-Dateien öffneten, die Ausführung des Skripts erlaubten (indem sie auf die Schaltfläche „Bearbeitung aktivieren“ klickten), würden die Makros Malware herunterladen und auf den Systemen der Opfer installieren.

Die endgültigen Nutzlasten waren klassische Infostealer-Trojaner wie Azorult, AgentTesla, Formbook, Matiex und njRat, die Passwörter aus den Browsern, E-Mails und FTP-Clients der Benutzer ausspielten und an die Server von Epic Machengo schickten.

Die Entscheidung, EPPlus für die Generierung ihrer bösartigen Excel-Dateien zu verwenden, mag zwar einige Vorteile gehabt haben, aber am Anfang hat sie Epic Manchego auf lange Sicht auch geschadet, da sie es dem NVISO-Team ermöglichte, alle ihre früheren Operationen sehr leicht aufzuspüren, indem es nach merkwürdig aussehenden Excel-Dokumenten suchte.

Am Ende sagte NVISO, es habe mehr als 200 bösartige Excel-Dateien entdeckt, die mit der Epischen Manchego in Verbindung stehen, wobei die erste auf den 22. Juni dieses Jahres zurückgeht.

Laut NVISO scheint diese Gruppe mit dieser Technik zu experimentieren, und seit den ersten Angriffen haben sie sowohl ihre Aktivität als auch die Ausgereiftheit ihrer Angriffe erhöht, was darauf hindeutet, dass dies in Zukunft eine breitere Anwendung finden könnte.

Dennoch waren die NVISO-Forscher nicht völlig überrascht, dass Malware-Gruppen jetzt EPPlus verwenden. „Wir sind mit dieser .NET-Bibliothek vertraut, da wir sie seit einigen Jahren zur Erstellung bösartiger Dokumente („Maldocs“) für unser rotes Team und unsere Penetrationstester verwenden“, so das Unternehmen.

ANZEIGE

Kollaborationsplattform Slack: Effizient arbeiten – egal von wo

Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago