最新研究表明,越来越多的黑客使用Excel4.0文件作为初始载体来传播ZLoader和Quakbot等恶意软件。上述发现基于对2020年11月至2021年3月期间160,000个Excel4.0文件的分析,其中超过90%被归类为恶意或可疑文件。ReversingLabs的研究人员在4月28日发布的一份报告中表示,针对目标企业和个人的最大威胁是用于检测恶意Excel4.0文件的安全解决方案仍然存在问题。让许多恶意Excel文件逃过传统的基于签名的检测以及YARA规则。通过Excel传播的Quakbot(又名QBOT)木马能够窃取银行凭证和其他财务信息。而且,该木马还具有类蠕虫传播特性,通常通过武器化Office文档传播,是臭名昭著的银行木马。QakBot的变种更强大,功能更多。变体已经能够传播其他恶意软件有效负载、记录用户击键,甚至在目标设备上创建后门。在ReversingLabs的分析报告中,该恶意软件不仅以非常可信的诱饵诱骗用户启用宏,还附带一个包含XLM宏的嵌入式文件。该文件能够下载并执行从远程服务器检索到的恶意第二阶段有效负载。另一个样本包含一个Base64编码的负载,它试图从一个简单的URL下载其他恶意软件。Excel4.0宏(XLM)是VisualBasicforApplications(VBA)的前身,是一项遗留功能,已合并到MicrosoftExcel中以满足向后兼容性需求。微软还在其支持文档中警告称,启用所有宏将导致“潜在危险代码”运行。对此,研究人员指出,虽然向后兼容非常重要,但从安全角度来看,维持30年历史的宏会带来重大的安全隐患。这些宏应该有预期的生命周期,在适当的时间点弃用可能是最好的解决方案。资料来源:thehackernews
