Tin tặc khai thác Macro Excel 4.0 để phát tán phần mềm độc hại

[t04ndv]

Một nghiên cứu mới đây cho thấy tin tặc đang tăng cường khai thác Excel 4.0 để phát tán phần mềm độc hại như Zloader và Quakbot.

Phân tích 160.000 tài liệu Excel 4.0 trong khoảng thời gian từ tháng 11/2020 đến tháng 3/2021 cho thấy có tới hơn 90% tài liệu bị đánh giá là độc hại hoặc đáng ngờ.

"Rủi ro lớn nhất đối với các công ty và cá nhân mục tiêu là trên thực tế các giải pháp bảo mật vẫn còn rất nhiều hạn chế trong việc phát hiện các tài liệu Excel 4.0 độc hại, khiến hầu hết các tài liệu này không được phát hiện bởi chữ ký thông thường và các quy tắc YARA của các nhà phân tích", các nhà nghiên cứu từ ReversingLabs cho biết.

​

Macro Excel 4.0 (XLM), phiên bản tiền thân của Visual Basic for Applications (VBA), là một tính năng kế thừa được tích hợp trong Microsoft Excel. Microsoft đã cảnh báo việc bật tất cả các macro có thể chạy "mã ẩn nguy hiểm".

​

Từ khi được phát hiện năm 2007, Quakbot (QBOT) vẫn không ngừng phát triển, trojan ngân hàng khét tiếng này có khả năng đánh cắp thông tin xác thực ngân hàng và các thông tin tài chính khác đồng thời có các tính năng lây lan như "sâu". Thường lây lan qua các tài liệu Office để tấn công, trojan này có thể ghi lại tất cả các phím mà người dùng nhấn trên bàn phím, phát tán phần mềm độc hại hay thậm chí tạo "backdoor" trên các máy bị xâm nhập.

Phần mềm độc hại không chỉ lừa người dùng bật macro mà còn đi kèm với những tệp nhúng XLM tải xuống và thực thi mã độc giai đoạn hai từ máy chủ từ xa. Một mẫu khác bao gồm cả mã độc mã hóa base64 trong một trong các trang tính, sau đó tải xuống phần mềm độc hại từ một URL đơn giản.

Theo The Hacker News​