29/04/21
Злоумышленники стали чаще использовать документы Microsoft Excel (версии 4.0) для распространения вредоносных программ, таких как ZLoader и Quakbot. Исследователи безопасности из компании ReversingLabs провели анализ 160 тыс. документов Excel (версии 4.0) в период с ноября 2020 года по март 2021 года и обнаружили, что более 90% из них оказались вредоносными или потенциально опасными.
«Самый большой риск заключается в том, что у решений безопасности по-прежнему есть много проблем с обнаружением вредоносных документов Excel 4.0 на основе сигнатур и правил YARA», — пояснили эксперты.
Макросы Excel 4.0 (XLM) являются устаревшей функцией, включенной в Microsoft Excel по причинам обратной совместимости. Как предупреждает Microsoft, включение всех макросов может вызвать запуск «потенциально опасного кода». Например, вредоносное ПО Quakbot (также известное как QBOT) способно загружать другие вредоносы, регистрировать нажатия клавиш пользователем и внедрять бэкдор. По словам специалистов, вредонос не только обманом заставлял пользователей включать макросы, но также распространялся со встроенными макросами XLM, которые загружали и выполняли вредоносную полезную нагрузку второго уровня с удаленного сервера.
«Несмотря на то, что обратная совместимость очень важна, у некоторых вещей должен быть ожидаемый срок службы, и с точки зрения безопасности, было бы лучше отказаться от них. Стоимость поддержки макросов 30-летней давности должна быть сопоставлена с рисками безопасности, связанными с использованием таких устаревших технологий», — отметили специалисты.
