当微软在 2022 年初默认限制所有 Excel 4.0 宏以防止威胁行为者滥用该功能分发恶意软件时,许多安全专家认为威胁行为者只会转向不同的攻击垂直方向。
然而,Netskope 的安全研究人员发现,武器化的Excel文件仍然非常受欢迎,因为用户仍在使用旧版本和未受保护的软件,因此仍然容易受到此类攻击。
在一篇博文中(在新标签中打开),Netskope 员工威胁研究工程师 Gustavo Palazolo 概述了该公司最近如何发现“数百个”恶意 Office 文档被用于下载和执行 Emotet。
单一威胁参与者
Emotet 是一种木马,能够窃取信息并将额外的恶意负载投放到目标端点。
在 VirusTotal 上搜索类似文件后,该团队在 6 月份发现了 776 个恶意电子表格,这些电子表格仅在一个半星期内提交。大多数文件共享相同的 URL 和一些元数据,使研究人员得出结论,这可能是单个威胁参与者的工作。
该团队总共提取了 18 个 URL,其中 4 个在当时仍然在线并传递恶意负载。
这些文件是通过传统方式分发的——通过电子邮件。受害者会收到一封电子邮件,声称是某项服务的付款表格、一些医疗账单或文书工作,或任何可能促使人们下载和打开附件的东西,如果没有的话,出于好奇。
有些文件甚至被压缩并受密码保护,可能会逃避防病毒或电子邮件保护服务。
运行文件的用户会看到它是空的,除了一条消息说文件的内容是“受保护的”,直到他们启用编辑,这也有效地启用了宏。
为了最好地防御这种类型的网络钓鱼,鼓励企业教育员工如何发现网络钓鱼、保持硬件和软件更新以及运行适当的防病毒解决方案、防火墙和多因素身份验证服务。