Manipulierte Excel-Dateien in Phishing-Mails

Die von Sicherheitsforschern der NVISO Labs entdeckte Malware-Bande – die sie Epic Manchego nannten – ist seit Juni aktiv und zielt mit Phishing-E-Mails, die ein bösartiges Excel-Dokument enthalten, auf Unternehmen in der ganzen Welt ab.

Laut NVISO sind das aber Standard-Excel-Tabellen. Die bösartigen Excel-Dateien umgingen Sicherheitsscanner und hatten niedrige Erkennungsraten. Laut NVISO lag dies daran, dass die Dokumente nicht mit der Standard-Software Microsoft Office, sondern mit einer .NET-Bibliothek namens EPPlus erstellt wurden.

Entwickler verwenden diesen Bibliotheksteil ihrer Anwendungen in der Regel, um die Funktionen „Als Excel exportieren“ oder „Als Tabellenkalkulation speichern“ hinzuzufügen. Die Bibliothek kann zur Generierung von Dateien in einer Vielzahl von Tabellenkalkulationsformaten verwendet werden und unterstützt sogar Excel 2019.

NVISO sagt, dass die Epic Manchego-Bande offenbar EPPlus verwendet hat, um Tabellenkalkulationsdateien im Office Open XML (OOXML)-Format zu erzeugen.

Den von Epic Manchego erzeugten OOXML-Tabellenkalkulationsdateien fehlte ein Teil des kompilierten VBA-Codes, der spezifisch für Excel-Dokumente ist, die in der proprietären Office-Software von Microsoft kompiliert wurden.

Einige Antiviren-Produkte und E-Mail-Scanner suchen speziell nach diesem Teil des VBA-Codes, um nach möglichen Anzeichen für bösartige Excel-Dokumente zu suchen, was erklären würde, warum von der Epic Manchego-Bande erstellte Tabellenkalkulationen niedrigere Erkennungsraten hatten als andere bösartige Excel-Dateien.

Die kompilierten VBA-Codes sind normalerweise der Ort, an dem der bösartige Code eines Angreifers gespeichert wird. Das bedeutet jedoch nicht, dass die Dateien sauber waren.

NVISO sagt, dass die Epic Manchego-Bande ihren bösartigen Code einfach in einem benutzerdefinierten VBA-Codeformat speicherte, das ebenfalls kennwortgeschützt war, um Sicherheitssysteme und Forscher daran zu hindern, seinen Inhalt zu analysieren.

Doch obwohl sie ihre bösartigen Excel-Dokumente mit einer anderen Methode erzeugten, funktionierten die EPPlus-basierten Tabellenkalkulationsdateien nach wie vor wie jedes andere Excel-Dokument.

Die bösartigen Excel-Dokumente (auch Maldocs genannt) enthalt ein bösartiges Makroskript. Wenn Benutzer, die die Excel-Dateien öffneten, die Ausführung des Skripts erlaubten (indem sie auf die Schaltfläche „Bearbeitung aktivieren“ klickten), würden die Makros Malware herunterladen und auf den Systemen der Opfer installieren.

Die endgültigen Nutzlasten waren klassische Infostealer-Trojaner wie Azorult, AgentTesla, Formbook, Matiex und njRat, die Passwörter aus den Browsern, E-Mails und FTP-Clients der Benutzer ausspielten und an die Server von Epic Machengo schickten.

Die Entscheidung, EPPlus für die Generierung ihrer bösartigen Excel-Dateien zu verwenden, mag zwar einige Vorteile gehabt haben, aber am Anfang hat sie Epic Manchego auf lange Sicht auch geschadet, da sie es dem NVISO-Team ermöglichte, alle ihre früheren Operationen sehr leicht aufzuspüren, indem es nach merkwürdig aussehenden Excel-Dokumenten suchte.

Am Ende sagte NVISO, es habe mehr als 200 bösartige Excel-Dateien entdeckt, die mit der Epischen Manchego in Verbindung stehen, wobei die erste auf den 22. Juni dieses Jahres zurückgeht.

Laut NVISO scheint diese Gruppe mit dieser Technik zu experimentieren, und seit den ersten Angriffen haben sie sowohl ihre Aktivität als auch die Ausgereiftheit ihrer Angriffe erhöht, was darauf hindeutet, dass dies in Zukunft eine breitere Anwendung finden könnte.

Dennoch waren die NVISO-Forscher nicht völlig überrascht, dass Malware-Gruppen jetzt EPPlus verwenden. „Wir sind mit dieser .NET-Bibliothek vertraut, da wir sie seit einigen Jahren zur Erstellung bösartiger Dokumente („Maldocs“) für unser rotes Team und unsere Penetrationstester verwenden“, so das Unternehmen.