Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Киберпреступная группировка использует хитрую тактику для обхода антивирусных сканеров с помощью вредоносных таблиц в формате Excel. В своих атаках злоумышленники прибегают к помощи .NET-библиотеки.
На активность группы обратили внимание специалисты компании NVISO Labs, они же присвоили ей имя — Epic Manchego. Это относительно новая группировка, действующая с июня.
Под прицелом злоумышленников находятся компании по всему миру, которым направляются специальные фишинговые письма с вложенной вредоносной таблицей.
Казалось бы, на первый взгляд ничего необычного — таких атак тысячи. Однако команда NVISO отметила особенность вложенных Excel-документов, которым удавалось обходить антивирусные проверки.
Дело в том, что операторы Epic Manchego задействовали .NET-библиотеку под названием EPPlus, с помощью которой компилировали таблицы. Как правило, разработчики используют эту библиотеку в своих приложениях, чтобы добавить функции вроде «Сохранить как таблицу» или «Экспортировать в Excel».
EPPlus можно использовать для создания файлов в различных форматах таблиц. Поддерживается даже Excel 2019. Именно этим и пользуются киберпреступники — сохраняют свои вредоносные документы в формате Office Open XML (OOXML). Этот подход отличается тем, что у таких сгенерированных таблиц отсутствует секция со скомпилированным VBA-кодом.
Как известно, антивирусные программы ищут признаки вредоносного содержимого как раз в VBA-коде. В этом случае логично объясняется низкий процент детектирования вложенных в фишинговые письма Excel-файлов.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |