Blijkbaar, hackers maken steeds vaker gebruik van Excel 4.0 documenten om malware te verspreiden, zoals ZLoader en Quakbot. De bevindingen zijn afkomstig van beveiligingsbedrijf Reversing Labs.
Hoe was het onderzoek naar kwaadaardige Excel 4.0 (XML) macro's uitgevoerd?
Het onderzoeksteam verzamelde alle Excel-documenten die sinds november voor het eerst in Reversing Labs TitaniumCloud verschenen 2020. De documenten werden vervolgens verwerkt met een statische analyse-engine die dat bijna identificeerde 160,000 van hen gebruiken Excel 4.0 (XLM) macros, de analyse onthult.
Bijna alle 160,000 Excel 4.0 documenten werden geclassificeerd als kwaadaardig of verdacht, wat betekent dat bijna elk document dat XML-macro's is besmet. Maar hoe komt dat??
“Logisch gezien het feit dat XLM-macro's op dit moment een verouderde Office-optie zijn, en er is slechts een kleine kans dat nieuwe documenten ze zouden gebruiken in plaats van modernere VBA-macro's,”Verklaren de onderzoekers.
Uit de analyse bleek ook dat er in bepaalde periodes van het jaar een patroon van kwaadaardige monsters toeneemt. Eind november werd een aanzienlijke toename van het aantal aangetroffen kwaadaardige monsters waargenomen 2020: een datum die samenvalt met Black Friday. “Dit is enigszins te verwachten, als dergelijke gebeurtenissen zijn een goede gelegenheid voor kwaadwillende actoren om hun doelwitten ertoe te verleiden kwaadaardige inhoud te openen,”Merkt het rapport op.
Het is merkwaardig, echter, dat het team tijdens de wintervakantie bijna geen activiteit heeft waargenomen (Kerstmis en Nieuwjaar). De pauze in kwaadaardige activiteit was kort, hoewel, als kwaadaardige Excel 4.0 macro's opgepikt in januari, vlak voor Valentijnsdag. "Malware, als de meeste menselijke activiteit, lijkt seizoensgebonden te zijn,”Concluderen de onderzoekers.
Banking-trojans gebruiken meestal kwaadaardige macro's
Een van de nieuwste grootschalige campagnes het leveren van de ZLoader-trojan werd afgelopen zomer ontdekt. Geïnfecteerde cv-bestanden werden gebruikt als dragers van de beruchte banktrojan.
Het is belangrijk op te merken dat de meeste malwarevoorbeelden van banken worden verspreid via geïnfecteerde documenten, algemeen toegankelijk voor gebruikers: tekstdocumenten, presentaties, spreadsheets, en databases. In die specifieke campagne, hackers hebben het virus ingesloten in Microsoft Excel-bestanden. Zodra de documenten zijn geopend, er zou een prompt verschijnen waarin de gebruiker wordt gevraagd om de macro's in te schakelen. Met andere woorden, zodra het potentiële slachtoffer deze scripts inschakelt, de trojan wordt uitgevoerd.
Wat moet u doen om te voorkomen dat u het slachtoffer wordt van trojan-campagnes voor het bankwezen??
Banking Trojans hebben grote schade aan nietsvermoedende gebruikers veroorzaakt, genereren van frauduleuze transacties en het stelen van bankgegevens. Aanval scenario's kunnen nog erger gaan, als de betreffende banktrojan extra malware installeert, zoals ransomware. Malware voor het bankieren blijft een groot probleem voor zowel individuele als zakelijke gebruikers, het is niet meer dan normaal om naar bescherming te zoeken.
Macro's worden meestal standaard uitgeschakeld door Microsoft. Natuurlijk, cybercriminelen zijn zich daarvan bewust, en altijd manieren vinden om potentiële slachtoffers ertoe te verleiden macro's mogelijk te maken en vervolgens geïnfecteerd te raken.
Hier zijn enkele basiskenmerken, eenvoudig te volgen stappen om kwaadaardige macro's te vermijden:
- Schakel macro's uit in Microsoft Office-toepassingen. Het allereerste dat u moet doen, is controleren of macro's zijn uitgeschakeld in Microsoft Office. Voor meer informatie, bezoek de officiële pagina van Microsoft Office. Houd in gedachten dat als je een zakelijke gebruiker, de systeembeheerder is degene die is belast met de macro standaardinstellingen.
- Do verdachte e-mails niet te openen. Simpel als dat. Als u een onverwachte e-mail van een onbekende afzender - als een factuur - niet open voordat ervoor te zorgen dat het legitiem is. Spam is de belangrijkste manier van verspreiden macro malware.
- Maak gebruik van antispammaatregelen en antimalwarebescherming. Vertrouw op antispamsoftware, spamfilters, gericht op de behandeling van inkomende e-mail. Dergelijke software isoleert spam van de reguliere e-mails. Spam filters zijn ontworpen om te identificeren en op te sporen spam, en voorkomen dat het bereiken van uw inbox. Zorg ervoor dat u een spam-filter toe te voegen aan uw e-mail.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: