一項新的研究表明，黑客越來越多地采用Excel 4.0文檔作為傳播ZLoader和Quakbot等惡意軟件的初始載體。

（圖片來源：thehackernews）

調(diào)查結(jié)果來自2020年11月至2021年3月期間對16萬份Excel 4.0文檔的分析，其中超過90％被歸類為惡意或可疑文檔。

ReversingLabs的研究人員在4月28號發(fā)表的一份報告中表示：“針對目標(biāo)公司和個人而言，最大的威脅是現(xiàn)有的安全解決方案在檢測惡意Excel 4.0文檔時，仍然存在很多問題。這些問題大部分是由傳統(tǒng)的基于簽名的檢測和YARA規(guī)則造成的?！?/p>

（圖片來源：thehackernews）

Excel 4.0宏（XLM）是Visual Basic for Applications（VBA）的前身，由于向后兼容的原因，它是Microsoft Excel中的一項舊功能。Microsoft在其支持文檔中警告說，啟用所有宏可能會導(dǎo)致運行“潛在危險的代碼”。

（圖片來源：thehackernews）

自2007年被發(fā)現(xiàn)以來，不斷發(fā)展的Quakbot（又名QBOT）一直是臭名昭著的銀行木馬，能夠竊取銀行憑證和其他金融信息，同時還具有蠕蟲般的傳播功能。QakBot的變體通常是通過武器化的Office文檔進行傳播的，能夠為其他惡意軟件提供有效載荷，記錄用戶擊鍵，甚至為受感染機器創(chuàng)建后門。

在ReversingLabs分析的文檔中，該惡意軟件不僅用具有可信任的誘餌誘騙用戶啟用宏，而且還附帶了包含XLM宏的嵌入式文件，這些文件下載并執(zhí)行從遠(yuǎn)程服務(wù)器獲取的惡意第二階段有效負(fù)載。另一個示例在其中一張工作表中包含Base64編碼的有效負(fù)載，然后嘗試從不安全的URL下載其他惡意軟件。

研究人員指出：“即使向后兼容非常重要，但某些東西應(yīng)該具有預(yù)期壽命。并且從安全角度來看，使用這種過時的技術(shù)帶來的安全風(fēng)險約等于維護30年舊版宏的成本?！?/p>

題圖來源：https://thehackernews.com/2021/04/cybercriminals-widely-abusing-excel-40.html

及時掌握網(wǎng)絡(luò)安全態(tài)勢 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費試用

本文來源:thehackernews

如涉及侵權(quán)，請及時與我們聯(lián)系，我們會在第一時間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明