Excel文檔是十分常見(jiàn)的辦公軟件，一旦被黑客盯上，足以讓大批量的用戶(hù)中招。用相同的Excel文檔混淆用戶(hù)視線，表面“波瀾不驚”，實(shí)則“暗藏危機(jī)”。

近期，NVISO Labs的安全研究人員發(fā)現(xiàn)一個(gè)新型惡意軟件團(tuán)伙利用一個(gè)新技術(shù)生成Excel文件，無(wú)需使用Microsoft Office即可創(chuàng)建包含大量宏的Excel工作簿，這些惡意Excel文件比較難被檢測(cè)到，可繞過(guò)系統(tǒng)的安全檢測(cè)。

該惡意組織團(tuán)伙名為“Epic Manchego”，自6月起，一直有所動(dòng)作，主要活動(dòng)是在世界范圍內(nèi)，向企業(yè)發(fā)送帶有惡意Excel的網(wǎng)絡(luò)釣魚(yú)郵件。

這些Excel文件暗藏“貓膩”，不是人們使用的常規(guī)的表格文件，它們可繞過(guò)安全掃描程序，檢測(cè)率較低。

惡意表格文件由EPPlus編譯

這些惡意Excel文件也是“出身不凡”，它們并不是在常規(guī)的Microsoft Office軟件中編譯的，而是在帶有EPPlus的.NET庫(kù)中編譯的。開(kāi)發(fā)人員會(huì)使用該庫(kù)來(lái)添加“導(dǎo)出為Excel”或“另存為電子表格”的功能，簡(jiǎn)單來(lái)說(shuō)，可用來(lái)生成多種電子表格格式的文件，甚至支持Excel 2019。

“當(dāng)我們注意到惡意文件沒(méi)有經(jīng)過(guò)編譯的代碼，并且也缺少Office元數(shù)據(jù)時(shí)，我們很快想到了EPPlus。該庫(kù)還將創(chuàng)建OOXML文件，而無(wú)需編譯VBA代碼和Office元數(shù)據(jù)。”安全研究團(tuán)隊(duì)在報(bào)告中寫(xiě)到。

Epic Manchego利用該庫(kù)中的EPPlus來(lái)生成Office Open XML（OOXML）格式的電子表格文件。Epic Manchego生成的OOXML電子表格文件缺少一部分已編譯的VBA代碼，該代碼專(zhuān)門(mén)用于在Microsoft專(zhuān)有Office軟件中編譯的Excel文檔。

OOXML文件格式是一種開(kāi)放包裝約定（OPC）格式：一種ZIP容器，主要包含XML文件，可能還包含二進(jìn)制文件。它最初是由Microsoft在Office 2007發(fā)行版中引入的。OOXML電子表格使用擴(kuò)展名.xlsx和.xlsm（用于帶有宏的電子表格）。

使用EPPlus創(chuàng)建VBA項(xiàng)目時(shí)，它不包含已編譯的VBA代碼。EPPlus沒(méi)有創(chuàng)建編譯代碼的方法：創(chuàng)建編譯VBA代碼的算法是Microsoft專(zhuān)有的。

殺毒軟件則是通過(guò)查找VBA代碼這一部分來(lái)實(shí)現(xiàn)惡意Excel文件檢測(cè)功能，由此可以解釋為什么Epic Manchego生成的惡意Excel文件檢測(cè)率低于其他惡意Excel文件了。

已編譯的VBA代碼可以存儲(chǔ)攻擊者的惡意代碼。比如Epic Manchego以自定義VBA代碼格式存儲(chǔ)了他們的惡意代碼，該格式也受到密碼保護(hù)，以防止安全系統(tǒng)和研究人員分析其內(nèi)容。

盡管生成惡意Excel的文件的方式不同，但是由EPPlus生成的電子表格仍然可以像正常Excel文檔那樣工作。這讓用戶(hù)很難辨別和發(fā)現(xiàn)Excel表格的異樣了。

自6月起，該惡意文檔的運(yùn)營(yíng)商開(kāi)始活躍，其中包含惡意宏腳本。如果打開(kāi)Excel文件的用戶(hù)允許執(zhí)行腳本（通過(guò)單擊“啟用編輯”按鈕），那么宏將在目標(biāo)用戶(hù)的系統(tǒng)中下載并安裝惡意軟件。

下載的惡意程序大多是那些經(jīng)典的竊密木馬，比如Azorult、AgentTesla、Formbook、Matiex、和njRat，這些木馬程序可以將用戶(hù)瀏覽器、電子郵件和FTP客戶(hù)端的密碼轉(zhuǎn)儲(chǔ)，并將這些發(fā)送到Epic Manchego的服務(wù)器中。

安全研究團(tuán)隊(duì)NVISO表示，他們發(fā)現(xiàn)了200多個(gè)鏈接到Epic Manchego的惡意Excel文件，第一個(gè)可追溯到今年6月22日。

責(zé)編AJX