Macro Excel 4.0, cunoscută și sub numele de macro XLM 4.0, este o funcție benignă de înregistrare și redare a Microsoft Excel, introdusă în 1992. Această bucată de cod de programare este o soluție pentru automatizarea sarcinilor repetitive în Excel, dar, din păcate, și o ușă ascunsă pentru livrarea de malware.
La fel ca predecesorul său, macroul Visual Basic for Application (VBA), macroul Excel 4.0 este din ce în ce mai des exploatat pentru a stoca programe malware ascunse. Actorii amenințători pot folosi cu ușurință această caracteristică veche de 30 de ani pentru a crea noi tehnici de atac, deoarece pot ofusca codul XML pentru a ascunde macro-urile suspecte.
Ceea ce face ca acesta să fie un vector de atac atât de răspândit este faptul că macrourile Excel 4.0 sunt o componentă esențială a formulelor din capacitatea de bază a Excel. Acestea sunt utilizate în mod regulat în diverse procese de afaceri și este puțin probabil să fie dezactivate sau să fie depreciate. Din acest motiv, autorii de programe malware strecoară adesea o sarcină utilă malițioasă prin intermediul codului macro într-un document Excel și o livrează ca atașament de e-mail, așa cum au făcut în primul incident cu macro 4.0.
Primul atac macro Excel 4.0
De la primul val de atacuri macro 4.0 de la mijlocul lunii februarie 2020[1], un număr mare de infractori cibernetici au cooptat această tehnică. Aceasta implică o foaie infectată cu o comandă malițioasă ascunsă într-o formulă, trimisă ca parte a unui fișier Excel atașat.
Atacatorii folosesc tactici de inginerie socială pentru a atrage ținta să deschidă fișierul. La deschidere, victima este rugată să facă clic pe butonul "Enable Editing", care activează macroul malițios.
În urma primului atac, actorii de amenințare au continuat să profite de această tehnică de evaziune pentru a crea mai multe atacuri, cu vârfuri în perioada mai - iulie 2020[2].
Macros "foarte ascunse"
Macro-urile pot fi inserate și ascunse pe furiș într-un fișier Excel folosind strategii de ofuscare.
De exemplu, o foaie este setată ca fiind "Foarte ascunsă", ceea ce înseamnă că această foaie nu este ușor accesibilă prin intermediul interfeței Excel și nu poate fi dezvăluită fără ajutorul unui instrument extern. Macro-urile ascunse în foaia Excel pot fi declanșate prin interogare web sau pot descărca programe malware la executarea unei formule. Actorii de amenințări profită de această lacună pentru a livra sarcini utile malițioase prin încărcarea de fișiere sau atașamente de e-mail și pentru a exploata vulnerabilitățile sistemului pentru a crea noi vectori de atac.
Această tactică, combinată cu trucuri de inginerie socială bazate pe frică, a fost folosită de atacatori pentru a obține acces de la distanță și a rula comenzi pe dispozitivele compromise. În mai 2020, tehnica a fost atât de abuzată încât Microsoft a trebuit să avertizeze publicul cu privire la o campanie de phishing COVID-19[3]. Atacatorii au trimis e-mailuri cu subiectul "WHO COVID-19 SITUATION REPORT" (RAPORT DE SITUAȚIE COVID-19 OMS), imitând Centrul John Hopkins.
Fișierele Excel atașate conțin o macro malițioasă ascunsă care descarcă și execută NetSupport Manager RAT - un instrument de administrare care permite obținerea accesului de la distanță.
Protejați-vă împotriva încărcărilor de fișiere malițioase
Migrarea la VBA
Fiind conștient de aceste exploatări, Microsoft a încurajat utilizatorii să treacă la Visual Basic for Applications (VBA)[4]. Interfața de scanare antimalware (Antimalware Scan Interface - AMSI) cuplată cu VBA poate oferi o examinare aprofundată a comportamentelor macrourilor din VBA, permițând sistemului să scaneze macrourile suspecte și alte activități malițioase în timpul execuției.
Integrarea AMSI cu Microsoft Office
Microsoft permite, de asemenea, integrarea AMSI cu Office 365 pentru a include scanarea în timp de execuție a macro-urilor Excel 4.0 pentru a ajuta la detectarea și blocarea programelor malware bazate pe XLM.
Eliminați Macro Payloads și toate programele malware cu Deep CDR
Tehnologia noastră de prevenire a amenințărilor presupune că toate fișierele sunt malițioase, apoi dezinfectează și reconstruiește fiecare fișier, asigurând utilizarea completă cu conținut sigur în momentul în care acesta ajunge la utilizatori. Aflați mai multe despre modul în care Deep CDR previne tehnicile evazive în fișierele Excel și tehnicile VBA stomping maldoc.
În plus, OPSWAT permite utilizatorilor să integreze mai multe tehnologii brevetate pentru a oferi straturi suplimentare de protecție împotriva programelor malware. Un astfel de exemplu este Multiscanning, care permite utilizatorilor să scaneze simultan cu peste 30 de motoare anti-malware (utilizând AI/ML, semnături, euristică etc.) pentru a obține rate de detecție apropiate de 100%. Comparați acest lucru cu un singur motor AV, care, în medie, poate detecta doar 40-80% din viruși.
Aflați mai multe despre Deep CDR, Multiscanning, și alte tehnologii; sau discutați cu un expert OPSWAT pentru a descoperi cea mai bună soluție de securitate pentru a vă proteja împotriva atacurilor Zero-day și a altor amenințări din partea programelor malware evazive avansate.
Referințe
1 James Haughom, Stefano Ortolani. "Evoluția armelor macro Excel 4.0". Lastline. 2 iunie 2020, https://www.lastline.com/labsb....
2 Baibhav Singh. "Evolution of Excel 4.0 Macro Weaponization - Part 2". VMware. 14 octombrie 2020. https://blogs.vmware.com/netwo....
3 Phil Muncaster. "Microsoft avertizează cu privire la un RAT "masiv" #COVID19". Infosecurity Magazine. 21 mai 2020, https://www.infosecurity-magaz....
4 "XLM + AMSI: New runtime defense against Excel 4.0 macro malware". Microsoft. 3 martie 2021. XLM + AMSI: O nouă apărare în timp de execuție împotriva malware-ului macro Excel 4.0 | Microsoft Security Blog.
