Banda de malware utiliza la biblioteca .NET para generar documentos de Excel que eluden los controles de seguridad

Descubierta por investigadores de seguridad de NVISO Labs, esta banda de malware, a la que llamaron  Epic Manchego , ha estado activa desde junio y se dirige a empresas de todo el mundo con correos electrónicos de phishing que contienen un documento de Excel malicioso. Pero NVISO dijo que estas no eran sus hojas de cálculo estándar […]

Descubierta por investigadores de seguridad de NVISO Labs, esta banda de malware, a la que llamaron  Epic Manchego , ha estado activa desde junio y se dirige a empresas de todo el mundo con correos electrónicos de phishing que contienen un documento de Excel malicioso.

Pero NVISO dijo que estas no eran sus hojas de cálculo estándar de Excel. Los archivos maliciosos de Excel pasaban por alto los escáneres de seguridad y tenían tasas de detección bajas.

Los archivos de Excel maliciosos se compilaron con EPPlus

Según NVISO, esto se debió a que los documentos no se compilaron en el software estándar de Microsoft Office, sino con una biblioteca .NET llamada  EPPlus .

Los desarrolladores suelen utilizar esta biblioteca como parte de sus aplicaciones para agregar las funciones “Exportar como Excel” o “Guardar como hoja de cálculo”. La biblioteca se puede utilizar para generar archivos en una amplia variedad de formatos de hojas de cálculo e incluso es compatible con Excel 2019.

NVISO dice que la pandilla Epic Manchego parece haber usado EPPlus para generar archivos de hoja de cálculo en el formato Office Open XML (OOXML).

Los archivos de hoja de cálculo OOXML generados por Epic Manchego carecían de una sección de código VBA compilado, específico para los documentos de Excel compilados en el software Office patentado de Microsoft.

Este es el archivo de demostración que acompaña al artículo, Cómo cambiar fácilmente los términos de entrada principal y subentrada en un índice de Word, por Susan Harkins.

Algunos productos antivirus y escáneres de correo electrónico buscan específicamente esta parte del código VBA para buscar posibles signos de documentos de Excel maliciosos, lo que explicaría por qué las hojas de cálculo generadas por la banda Epic Manchego tenían tasas de detección más bajas que otros archivos de Excel maliciosos.

Este blob de código VBA compilado suele ser el lugar donde se almacenaría el código malicioso de un atacante. Sin embargo, esto no significa que los archivos estuvieran limpios. NVISO dice que Epic Manchego simplemente almacenó su código malicioso en un formato de código VBA personalizado, que también estaba protegido con contraseña para evitar que los sistemas de seguridad y los investigadores analizaran su contenido.

Pero a pesar de utilizar un método diferente para generar sus documentos de Excel maliciosos, los archivos de hoja de cálculo basados ​​en EPPlus todavía funcionaban como cualquier otro documento de Excel.