Эта скучная таблица Excel может быть использована для распространения вредоносных программ

Эта скучная таблица Excel может быть использована для распространения вредоносных программ

28 июня 2022 г.

Когда ранее в 2022 году Microsoft ограничила все макросы Excel 4.0 по умолчанию, чтобы злоумышленники не могли злоупотреблять этой функцией для распространения вредоносного ПО, многие эксперты по безопасности думали, что злоумышленники просто перейдут к другой вертикали атаки.

Однако исследователи безопасности из Netskope обнаружили, что вооруженные файлы Excel по-прежнему очень популярны среди пользователей. по-прежнему используют старые и незащищенные версии программного обеспечения и, как таковые, по-прежнему подвержены этому типу атак.

В сообщении в блоге инженера по исследованию угроз Netskope Густаво Палазоло рассказал, как компания недавно обнаружила «сотни» вредоносных документов Office, используемых для загрузки и запуска Emotet.

Поделитесь своими мыслями по кибербезопасности и получите бесплатную копию Руководства хакера 2022. Помогите нам узнать, как компании готовятся к миру после пандемии COVID-19, и влияние этих действий на их планы кибербезопасности. Введите свой адрес электронной почты в конце этого опроса, чтобы получить книжный журнал стоимостью 10,99 долл. США/10,99 фунта стерлингов.

Один субъект угрозы

Emotet — это троян, способный похищать информацию и сбрасывать дополнительные вредоносные полезные нагрузки на целевую конечную точку. .

Выполнив поиск похожих файлов на VirusTotal, команда обнаружила 776 вредоносных электронных таблиц, отправленных всего за полторы недели в июне. Большинство файлов имеют одни и те же URL-адреса и некоторые метаданные, что привело исследователей к выводу, что это, вероятно, работа одного злоумышленника.

В общей сложности команда извлекла 18 URL-адресов, четыре из которых все еще были в сети и в то время доставляли вредоносную полезную нагрузку.

Файлы распространяются традиционным способом — по электронной почте. Жертва получала электронное письмо, в котором утверждалось, что это форма оплаты услуги, какие-то медицинские счета или документы, или что-то еще, что могло бы побудить людей загрузить и открыть вложение, если ничего, то из любопытства.

Некоторые файлы были даже сжаты и защищены паролем, чтобы обойти антивирусные службы или службы защиты электронной почты.

Пользователи, запускающие файл, увидят его пустым, за исключением сообщения о том, что содержимое файла «защищено» до тех пор, пока они не разрешат редактирование, которое также эффективно включает макросы.

Чтобы наилучшим образом защититься от этого типа фишинга, предприятиям рекомендуется обучать своих сотрудников тому, как обнаруживать фишинг, обновлять свое оборудование и программное обеспечение и использовать надлежащие антивирусные решения, брандмауэры и службы многофакторной аутентификации.

PREVIOUS ARTICLE
NEXT ARTICLE