Forscher der NVISO Labs enttarnten eine Malware-Gang, die sie Epic Manchego nennen und die seit Juni mit Phishing-Emails aktiv ist, in denen ein bösartiges Excel-Dokument steckt, mit dem sie weltweit Firmen angreift.
Bösartige Dateien sind nicht mit Excel erstellt worden
NVISO sieht die Dokumente zwar als Standard-Excel-Tabellen, aber diese bösartigen Excel-Dateien umgingen viele verbreitete Sicherheitsscanner und hatten auch nur ungewöhnlich niedrige Erkennungsraten.
Das lag daran, dass diese Dokumente nicht etwa mit der Standardsoftware Excel aus Microsofts Office-Paket, sondern mit der .NET-Bibliothek EPPlus erstellt wurden.
Entwickler benutzen diese Bibliothek gerne, um Funktionen wie zum Beispiel „Als Excel exportieren“ oder „Als Tabellenkalkulation speichern“ ohne nennenswerten eigenen Programmieraufwand ihren Anwendungen hinzuzufügen. Man kann die Bibliothek EPPlus zur Erzeugung von Dateien in vielen Tabellenkalkulationsformaten nutzen – sie unterstützt sogar das allerneueste Excel 2019.
Details zu dem Angriff
Offenbar hat die Epic Manchego-Gang EPPlus benutzt, um damit Tabellenkalkulations-Dateien im Office Open XML (OOXML)-Format zu erzeugen.
Allerdings fehlt den von Epic Manchego erzeugten OOXML-Dateien ein Teil des kompilierten VBA-Codes, der für von Excel erstellte Dokumente spezifisch ist.
Viele Antiviren-Programme und Email-Scanner suchen speziell nach diesem Teil des VBA-Codes, um so eventuelle Anzeichen für bösartige Excel-Dokumente zu finden. Das dürfte der Grund sein, warum von Epic Manchego erstellte Dateien niedrigere Erkennungsraten als andere bösartige Excel-Dateien haben.
NVISO fand auch heraus, dass Epic Manchego ihren bösartigen Code einfach in einem benutzerdefinierten VBA-Codeformat abspeicherten, das auch mit einem Passwort geschützt war, um so Sicherheitssysteme (und auch Sicherheitsforscher) daran zu hindern, den Inhalt zu untersuchen.
Wer die Bearbeitung aktiviert, bekommt Schadcode auf seinen Rechner
Die auch Maldocs genannten bösartigen Excel-Dokumente enthalten ein bösartiges Makroskript. Wenn die Benutzer die Excel-Dateien öffnen und die Ausführung des Skripts gestatten (durch Klicken auf die Schaltfläche „Bearbeitung aktivieren“), laden die Makros Schadsoftware aus dem Internet nach und installieren sie auf den betroffenen Rechnern.
Bei den bisherigen Angriffen wurden typische Infostealer-Trojaner wie Azorult, AgentTesla, Formbook, Matiex und njRat installiert, die Passwörter aus Browsern, Emails und FTP-Clients der Benutzer ausspionierten und auf die Server von Epic Machengo übertrugen.
