网络犯罪分子不再使用MicrosoftExcel作为将恶意软件偷偷植入潜在受害者PC的方法。安全供应商Hornetsecurity表示,其研究人员记录到7月份依赖恶意Excel文档的充满恶意软件的电子邮件数量显着下降。该公司的月度电子邮件威胁报告指出,从6月到7月底,Excel攻击下降了近10%。Hornetsecurity团队认为,这在很大程度上是由于微软做出了禁用宏代码执行的关键决定,该宏代码长期以来一直被恶意软件运营商滥用,以劫持打开文档文件的机器。“攻击中使用的Excel文档从14.4%下降到5.1%,这可以归因于攻击者改变了策略,因为微软默认禁用Excel4.0宏,”Hornetsecurity在其报告中说。:“通过恶意Excel4.0宏分发的主要恶意软件是QakBot和Emotet,QakBot切换到使用HTML搭载和DLL侧载的复杂感染链,我们将在本报告后面重点介绍。”在默认情况下关闭Excel宏在这种情况下,研究人员发现许多较大的恶意软件组不得不寻找其他方法来使用更复杂的方法来感染机器。上面提到的Qakbot就是一个极端的例子。Hornetsecurity团队发现,Qakbot攻击者选择构建一种机制,将附加的HTML文档显示为Adob??ePDF文档,并提示受害者以阅读器软件的名义下载zip文件。然后,有效负载会自动启动并安装用于侧载攻击的DLL文件,并最终安装Qakbot恶意软件本身。虽然恶意软件操作者改变其网络钓鱼攻击的技术和策略并不少见,但研究人员指出,Qakbot的转变特别迅速,以响应微软的新安全政策。Hornetsecurity的CEODanielHofmann表示:“携带代码的方法可以有效地规避检测,让Qakbot感染大量受害者。但是,这种方法需要Qakbot不断更新其规避技术以保持领先于检测。我们可能会看到交付方式的微小变化,例如,代码可能会使用HTML以外的文件类型进行传输。”虽然新的安全措施对Excel攻击的数量产生了短期影响,但Hofmann表示,在可预见的未来,电子表格应用程序可能仍然是通过网络钓鱼和社会工程攻击传播恶意软件的流行方法。“虽然钓鱼邮件中附加的Excel文档数量有所减少,但Hornetsecurity仍然观察到Excel文档是危险的,攻击者只是改变了他们传递恶意Excel文档的策略,”Hofmann说。
