恶意软件帮派使用.NET库生成绕过安全检查的Excel文档

它们仍然是Excel文档。只是不是您典型的Excel文件。不过，足以欺骗某些安全系统。

一个新发现的恶意软件团伙正在使用巧妙的技巧来创建恶意Excel文件，这些文件的检测率较低，并且逃避安全系统的可能性更高。

由NVISO Labs的安全研究人员发现，此恶意软件团伙（他们命名为Epic Manchego）自6月以来一直活跃，其目标是向全世界的公司发送带有恶意Excel文档的网络钓鱼电子邮件。

但是NVISO表示，这些不是您的标准Excel电子表格。恶意Excel文件绕过了安全扫描程序，检测率较低。

恶意Excel文件是使用EPPlus编译的

根据NVISO的说法，这是因为这些文档不是在标准的Microsoft Office软件中编译的，而是带有一个名为EPPlus的.NET库  。

开发人员通常使用其应用程序的库部分来添加“导出为Excel”或“另存为电子表格”功能。该库可用于生成多种电子表格格式的文件，甚至支持Excel 2019。

NVISO说，Epic Manchego帮派似乎已经使用EPPlus来生成Office Open XML（OOXML）格式的电子表格文件。

由Epic Manchego生成的OOXML电子表格文件缺少一部分已编译的VBA代码，该代码专门用于在Microsoft专有Office软件中编译的Excel文档。

一些防病毒产品和电子邮件扫描程序专门寻找VBA代码的这一部分来搜索恶意Excel文档的可能迹象，这可以解释为什么Epic Manchego帮派生成的电子表格的检测率低于其他恶意Excel文件。

通常，已编译的VBA代码的这一斑点将存储攻击者的恶意代码。但是，这并不意味着文件是干净的。NVISO表示，Epic Manchego只是以自定义VBA代码格式存储了他们的恶意代码，该格式也受到密码保护，以防止安全系统和研究人员分析其内容。

但是，尽管使用了不同的方法来生成其恶意Excel文档，但基于EPPlus的电子表格文件仍然可以像其他任何Excel文档一样工作。

自六月起活跃

恶意文档（也称为  maldocs）仍然包含恶意宏脚本。如果打开Excel文件的用户允许执行脚本（通过单击“启用编辑”按钮），则宏将在受害者的系统上下载并安装恶意软件。

最终的有效负载是经典的信息窃取木马，例如Azorult，AgentTesla，Formbook，Matiex和njRat，它们会从用户的浏览器，电子邮件和FTP客户端中转储密码，并将其发送到Epic Machengo的服务器。

尽管使用EPPlus生成恶意Excel文件的决定可能会带来一些好处，但一开始，从长远来看，它也最终伤害了Epic Manchego，因为它使NVISO团队可以通过搜索很容易地检测到他们过去的所有操作用于外观奇特的Excel文档。

最终，NVISO说，它发现了200多个与Epic Manchego链接的恶意Excel文件，第一个可追溯到今年6月22日。

NVISO表示，该小组似乎正在试验这种技术，并且自第一次攻击以来，他们已经增加了攻击的活动性和复杂性，这表明将来可能会更广泛地使用它。

但是，NVISO研究人员对恶意软件组现在正在使用EPPlus并不感到完全惊讶。

该公司表示：“我们已经熟悉了.NET库，因为我们已经使用了它几年，为我们的红队和渗透测试人员创建恶意文档（“ maldocs”）。

NVISO Labs的Epic Manchego报告中提供了恶意EPPlus渲染的Excel文件的破坏和技术故障的指示器  。