Menu dostępności

Kolejna dawka złośliwych arkuszy Excel wyposażonych w makra

O makrach w dokumentach MS Office pisaliśmy już wielokrotnie, tłumacząc przy tym techniki jakie wykorzystują cyberprzestępcy. Nie będziemy się więc powtarzać i tym razem skupimy się na konkretnych przykładach, aby pokazać złośliwe pliki i przestrzec użytkowników.

Kilka dni temu zespół analityków z ASEC odkrył, że złośliwe pliki Excel’a wykorzystujące makra w wersji 4.0 są rozpowszechniane na dużą skalę, głównie za pomocą poczty e-mail. Pliki nie pochodzą z żadnej zorganizowanej kampanii i były podobno przesyłane na oślep, często nawet bez treści maila.

Zauważone złośliwe pliki Excel zawierają obrazy, które zachęcają użytkowników do włączenia makr. Głównie pod przykrywką tego, że kliknięcie przycisku „Enable Content” rozszyfruje dostarczony dokument. Poniższe rysunki pokazują pliki, które są obecnie dystrybuowane.

źródło: asec.ahnlab.com
źródło: asec.ahnlab.com

Warto zauważyć, że złośliwe pliki wyglądają całkiem profesjonalnie. Mamy tutaj istniejącą markę DocuSign oraz loga podmiotów takich jak Microsoft, McAfee czy MS Office.

Malware ustawia poszczególne komórki za pomocą Auto_Open w Menedżerze nazw. Dzięki temu, po włączeniu makr formuły w komórkach są automatycznie uruchamiane w celu wykonania złośliwych zachowań. Formuły zwykle znajdują się w ukrytych arkuszach, ale kolumny komórek z formułami mogą być również ukryte i niewidoczne dla użytkownika za pomocą prostych technik zmiany koloru tła czy chowania się za obrazkiem.

źródło: asec.ahnlab.com

Poniżej widzimy kilka przykładów ukrywania formuł w innych arkuszach, w przypadkowym miejscu dokumentu:

źródło: asec.ahnlab.com
źródło: asec.ahnlab.com

Gdy złośliwe makro jest wykonywane, korzysta z funkcji „URLDownloadToFileA” do pobierania dodatkowych złośliwych plików. Adres URL do pobrania dodatkowych plików składa się z hxxp://[IP]/[konkretne cyfry lub znaki].dat lub .png, .dat itp. Pobrane ładunki są uruchamiane przez program regsvr32.exe. Poniżej na obrazku możemy zobaczyć drzewo procesów po uruchomieniu makr:

źródło: asec.ahnlab.com

Docelowy malware jaki znajduje się w systemie po wykonaniu makr to głównie popularny TrickBot, kradnący informacje o użytkowniku i jego aktywnościach.

Ponieważ pliki Excel ze szkodliwymi makrami są dystrybuowane głównie za pomocą wiadomości spamowych, użytkownicy muszą zachować szczególną ostrożność w przypadku wiadomości e-mail wysyłanych przez nieznanych użytkowników. Powinni także powstrzymać się od uruchamiania makr plików dokumentów dołączanych do wiadomości e-mail z nieznanych źródeł. Każde wyskakujące okienko w dokumencie MS Office z przyciskiem „Enable Content” powinno być flagą ostrzegawczą.

IOC:

– Downloader/MSOffice.Generic – Downloader/XML.XlmMacro

– a40f40480e508854fd9f01682b0d64c2 – ec642e8c5e02eb1e706b68dbfa87b22e – 5371c466a1f4c0083d4f9b7d6a2248e6

Popularne

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Przez ponad dwie dekady sieci VPN (Virtual Private Network) stanowiły podstawowy mechanizm zapewniający bezpieczny dostęp zdalny do zasobów przedsiębiorstw. W czasach, gdy większość pracowników wykonywa...
Accenture potwierdza wyciek danych

Accenture potwierdza wyciek danych

Accenture, obecny również w Polsce gigant usług profesjonalnych, potwierdziło naruszenie bezpieczeństwa danych po tym, jak haker przyznał się do kradzieży kodu źródłowego firmy. Accenture to przedsi...
FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...