Các hacker sử dụng rộng rãi Macro Excel 4.0 để phân phối malware.



Các hacker đang ngày càng nhiều sử dụng các tài liệu Excel 4.0 như một bước của giai đoạn đầu để phát tán malware như ZLoader và Quakbot, theo một nghiên cứu mới.

Các phát hiện đến từ việc phân tích 160.000 tài liệu Excel 4.0 trong khoảng thời gian từ tháng 11 năm 2020 đến tháng 3 năm 2021, trong đó hơn 90% được phân loại là độc hại hoặc khả nghi.

Các nhà nghiên cứu từ ReversingLabs cho biết: “Rủi ro lớn nhất đối với các công ty và các cá nhân bị nhắm tới là thực tế là các giải pháp bảo mật vẫn còn rất nhiều vấn đề trong việc phát hiện ra các tài liệu Excel 4.0 chứa mã độc, khiến hầu hết các tài liệu này qua mặt trước sự kiểm tra và tìm thấy dựa trên chữ ký thông thường và các quy tắc YARA của nhà phân tích”, các nhà nghiên cứu từ ReversingLabs cho biết trong một báo cáo được xuất bản ngày hôm nay.

Macro Excel 4.0 (XLM), tiền thân của Visual Basic for Applications (VBA), là một tính năng kế thừa được tích hợp trong Microsoft Excel vì lý do tương thích ngược (tương thích với đời PC, phần cứng cũ hơn). Microsoft cảnh báo trong tài liệu hỗ trợ của mình rằng việc bật tất cả các macro có thể khiến “mã nguy hiểm tiềm ẩn” khởi chạy.

Quakbot (hay còn gọi là QBOT) không ngừng phát triển, kể từ khi được phát hiện vào năm 2007, vẫn là một banking Trojan khét tiếng có khả năng đánh cắp thông tin xác thực ngân hàng và thông tin tài chính khác, đồng thời có được các tính năng lan truyền giống như sâu. Thường lây lan qua các tài liệu Office được cài mã độc, các biến thể của QakBot có thể phân phối các malware payloads khác, ghi lại các lần gõ phím của người dùng và thậm chí tạo ra một backdoor cho các thiết bị bị tấn công.

Trong một tài liệu được ReversingLabs phân tích, malware không chỉ lừa người dùng bật macro với những chiêu dụ thuyết phục mà còn đi kèm với các tệp nhúng chứa macro XLM tải xuống và thực thi payload ở giai đoạn thứ hai nguy hiểm ,truy xuất từ ​​máy chủ từ xa. Một mẫu khác bao gồm payload được mã hóa Base64 trong một trong các trang tính, sau đó cố gắng tải xuống malware bổ sung từ một URL sơ sài.

Các nhà nghiên cứu lưu ý: “Mặc dù tính tương thích ngược là rất quan trọng, nhưng một số thứ phải có tuổi thọ cao và từ góc độ bảo mật, có lẽ sẽ tốt nhất nếu chúng không được ứng dụng vào một thời điểm nào đó”, các nhà nghiên cứu lưu ý. “Chi phí duy trì các macro 30 năm tuổi nên được cân nhắc trước những rủi ro bảo mật mà việc sử dụng công nghệ lạc hậu như vậy đem tới.”

nguồn: thehackernews



Bài Viết liên quan

Mạng Xã Hội

55,084FansLike
471FollowersFollow
23,364SubscribersSubscribe

Bài Viết Nổi Bật