Inicio / Actualidad / Los ciberdelincuentes crean documentos de Excel maliciosos utilizando la biblioteca .NET para evitar los controles de seguridad

Los ciberdelincuentes crean documentos de Excel maliciosos utilizando la biblioteca .NET para evitar los controles de seguridad

Los autores de malware utilizan una nueva técnica que les permite crear libros de trabajo de Excel cargados de macros sin utilizar Microsoft Office.

Los investigadores de seguridad de NVISO detectaron los documentos de Excel maliciosos que distribuyen malware a través de hojas de cálculo activadas por VBA. La campaña parece estar dirigida por un solo actor de amenazas, según el número limitado de muestras disponibles.
Documentos de Excel maliciosos

Según el análisis de NVISO, se descubrió que los documentos maliciosos se crearon utilizando el software EPPlus en el formato Office Open XML (OOXML).

OOXML es un formato de convenciones de empaquetado abierto (OPC) que contiene principalmente archivos XML y algunos archivos binarios.

“Cuando se crea un proyecto VBA con EPPlus, no contiene código VBA compilado. EPPlus no tiene métodos para crear código compilado: los algoritmos para crear código VBA compilado son propiedad de Microsoft ”, se lee en la publicación de blog de NVISO.

La primera muestra que utilizó esta técnica se observó el 22 de junio de 2020 y, desde entonces, se encontraron más de 200 documentos maliciosos durante un período de 2 meses.

Todos los documentos maliciosos tienen el proyecto VBA protegido con contraseña y para abrir el proyecto VBA solo se requiere la contraseña. Para la ejecución de malware no se requiere contraseña, si el usuario abre, se ejecutará la contraseña del documento.

Una vez que el usuario abre los documentos maliciosos, se descarga una carga útil de segunda etapa desde varios sitios controlados por los autores de malware.

La carga útil de la segunda etapa actúa como un cuentagotas para la carga útil final, los motores antivirus detectan el malware como “AgentTesla”.

Los atacantes usan cuentas de correo electrónico corporativas para iniciar la campaña de spam, no se sabía cómo aprovecharon el control sobre estas cuentas.

“Al observar tanto al remitente como al destinatario, no parece haber un patrón que podamos deducir para identificar posibles nuevos objetivos. No parece haber un sector específico dirigido ni los dominios de envío están afiliados entre sí “.

Los siguientes son los países a los que se dirige principalmente: Estados Unidos, República Checa, Francia, Alemania y China.

 

Vea También

El proveedor de Data Centers más grande del mundo afectado por Netwalker ransomware

Recientemente, el proveedor de centros de datos más grande del mundo, Equinix, fue afectado por …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.