Um grupo de operadores de malware recém-descoberto está usando um truque para criar arquivos maliciosos do Excel com baixas taxas de detecção e maior chance de escapar dos sistemas de segurança.
Descoberto por pesquisadores de segurança da NViso Labs, esse grupo — que eles batizaram de Epic Manchego — está em atividade desde junho e visa empresas em todo o mundo com o envio de e-mails de phishing que contêm um documento malicioso do Excel.
A NViso observa que não sãos planilhas Excel padrão. Os arquivos maliciosos do Excel ignoram os scanners de segurança e têm baixas taxas de detecção. De acordo com a empresa, isso ocorre porque os documentos não são compilados no software padrão do Office, mas com uma biblioteca .NET chamada EPPlus.
Os desenvolvedores normalmente usam essa parte da biblioteca de seus aplicativos para adicionar funções “Exportar como Excel” ou “Salvar como planilha”. A biblioteca pode ser usada para gerar arquivos em uma ampla variedade de formatos de planilhas e até suporta o Excel 2019.
Veja isso
Microsoft alerta sobre campanha de phishing com tema covid-19
Microsoft publica estratégia de dupla chave para o Office 365
A NViso diz que o Epic Manchego parece ter usado EPPlus para gerar arquivos de planilha no formato Office Open XML (OOXML). Os arquivos OOXML gerados pelo grupo careciam de uma seção de código Visual Basic for Applications (VBA) compilado, específico para documentos Excel compilados no software Office proprietário da Microsoft.
Alguns produtos antivírus e verificadores de e-mail procuram especificamente por esta parte do código VBA para procurar possíveis sinais de documentos Excel maliciosos, o que explicaria por que planilhas geradas pelo Epic Manchego tinham taxas de detecção mais baixas do que outros arquivos Excel maliciosos.
Esse bloco de código VBA compilado geralmente é onde o código malicioso de um invasor é armazenado. No entanto, isso não significa que os arquivos estão limpos. A NViso diz que o Epic Manchego simplesmente armazena seu código malicioso em um formato de código VBA personalizado, que também era protegido por senha para evitar que sistemas de segurança e pesquisadores analisassem seu conteúdo.
Mas, apesar de usar um método diferente para gerar seus documentos Excel maliciosos, os arquivos de planilha baseados em EPPlus ainda funcionam como qualquer outro documento Excel. Com agências de notícias internacionais.
