Οι κυβερνοεγκληματίες διεισδύουν πλέον και στα υπολογιστικά φύλλα του Microsoft Excel

[trib]

Ερευνητές ισχυρίζονται πως ένα Trojan που παρέχει απομακρυσμένη πρόσβαση διανέμεται από το Excel.

Οι ειδικοί ανακάλυψαν μια νέα εγκληματική καμπάνια που στοχεύει τα υπολογιστικά φύλλα του Microsoft Excel για τη διανομή κακόβουλου λογισμικού Trojan.

Ερευνητές κυβερνοασφάλειας από την Morphisec Labs εντόπισαν τη ρωσική ομάδα hacking FIN7 (γνωστή και ως Carbanak) να διανέμει ένα μικρό, ελαφρύ RAT (Remote Access Trojan), μια παραλλαγή του JSSLoader, μέσω αρχείων τύπου XLL και XLM.

Αυτά τα αρχεία φέρουν κάποια πρόσθετα τα οποία επιτρέπουν στους εισβολείς να εκμεταλλεύονται δεδομένα, να παρακολουθούν τον χρήστη και να ζητούν από το RAT να εκτελεί αυτόματες ενημερώσεις, μεταξύ άλλων.

Αυτό το συγκεκριμένο RAT κυκλοφορεί από τον Δεκέμβριο του 2020. Ωστόσο, οι εισβολείς προσπαθούν να διανείμουν ένα ανυπόγραφο αρχείο, πράγμα που σημαίνει ότι το Excel θα εμφανίσει μια σαφή προειδοποίηση ότι η εκτέλεση του αρχείου ενέχει κινδύνους.

Οι ερευνητές εξηγούν ότι αυτά τα αρχεία XLL, εάν το θύμα τα ενεργοποιήσει, χρησιμοποιούν κακόβουλο κώδικα που βρίσκεται στη λειτουργία xlAutoOpen, φορτώνονται στη μνήμη και μετά κάνουν λήψη του κακόβουλου λογισμικού από έναν απομακρυσμένο διακομιστή. Μετά από αυτό, χρησιμοποιούν μια κλήση API για να εκτελέσουν τη διαδικασία.

Παρόλο που έχει την ίδια ροή εκτέλεσης, αυτή η παραλλαγή JSSLoader είναι λίγο διαφορετική από τις παλαιότερες, καθώς είναι σε θέση να μετονομάζει όλες τις λειτουργίες και τις μεταβλητές, σε μια προσπάθεια να παραμείνει αόρατη από τα διάφορα λογισμικά προστασίας ιών και άλλων λύσεων ασφαλείας.

Επίσης, χωρίζει τις συμβολοσειρές (strings) σε υποσυμβολοσειρές (sub-strings) και τις «δένει» κατά την εκτέλεση, για να αποφευχθεί περαιτέρω η ανίχνευση από εργαλεία malware όπως το YARA.

Αυτές οι νέες μέθοδοι αποφυγής ανίχνευσης, μαζί με τον τρόπο που φορτώνεται το RAT, είναι αρκετές ώστε αυτό να παραμείνει κρυφό από τις περισσότερες λύσεις προστασίας από ιούς, όπως αναφέρει η Morphisec.

Η ομάδα FIN7 μπορεί να το χρησιμοποιήσει στο παραβιασμένο δίκτυο για μέρες ή και εβδομάδες προτού εντοπιστεί.

Διαβάστε ολόκληρο το άρθρο

[Volga]

Ε άμα ο αλλος κατεβάσει ένα EXCEL Spreadsheet από πηγή που δεν ξέρει, και μετά το μήνυμα της Microsoft οτι περιέχει επιβλαβή κώδικα πατήσει ναι και συνεχίσει...

είναι σαν να λέμε "Οι κλέφτες βρήκαν τρόπο να χτυπάνε τα κουδούνια και στην ερώτηση ποιος ειναι; να απαντούν «ίσως είμαι ο κλέφτης», και ο ιδιοκτήτης να ανοίγει την πόρτα...

Και ο τίτλος του άρθρου να είναι... OI ΚΛΕΦΤΕΣ ΑΝΟΙΓΟΥΝ ΠΛΕΟΝ ΚΑΙ ΤΙΣ ΠΟΡΤΕΣ ΑΣΦΑΛΕΙΑΣ

[pao13]

μια είναι η τρύπα του όζοντος και μετά αυτή του excel

[valerio]

19 ώρες πριν, Volga είπε

Ε άμα ο αλλος κατεβάσει ένα EXCEL Spreadsheet από πηγή που δεν ξέρει, και μετά το μήνυμα της Microsoft οτι περιέχει επιβλαβή κώδικα πατήσει ναι και συνεχίσει...

Ο άλλος θα κάνει τη μαλακία, εσύ που θα πάρεις δικό του αρχείο και θα κολλήσεις;

[Volga]

8 ώρες πριν, valerio είπε

Ο άλλος θα κάνει τη μαλακία, εσύ που θα πάρεις δικό του αρχείο και θα κολλήσεις;

ΤΡΙΠΛΗ Η Μ@@ΚΙΑ δηλαδη.

1, Ο Πρωτος θα το ανοιξει παρα την προειδοποιηση,...

2, παροτι το αρχειο δεν θα του κανει την οποια δουλεια ανεφερε, θα μου το στειλει κι ολας

3, και εγω παλι ως τριτος θα το ανοιξω , και εγω παλι με τη σειρα μου θα γειωσω το μηνυμα  οτι δεν ειναι ασφαλες.

ε ειναι πασιφανες... Φταιει το excel 😂

[valerio]

Στις 29/3/2022 στις 8:44 ΜΜ, Volga είπε

ΤΡΙΠΛΗ Η Μ@@ΚΙΑ δηλαδη.

1, Ο Πρωτος θα το ανοιξει παρα την προειδοποιηση,...

2, παροτι το αρχειο δεν θα του κανει την οποια δουλεια ανεφερε, θα μου το στειλει κι ολας

3, και εγω παλι ως τριτος θα το ανοιξω , και εγω παλι με τη σειρα μου θα γειωσω το μηνυμα  οτι δεν ειναι ασφαλες.

ε ειναι πασιφανες... Φταιει το excel 😂

Προφανώς θα κολλήσει και τα άλλα αρχεία του. Αυτό που θα σου στείλει θα είναι legit με εξαίρεση το virus που θα περιέχει.