Varování před phishingem s XLS přílohami s makry typu Excel 4

06-03-2020 / V kategoriích: Novinky, 2020

ALEF, Makro, Phishing, SANS

V ALEF CSIRT a Internet Storm Center jsme v posledních dnech zaznamenali několik phishingových kampaní, v rámci nichž byly využity soubory s příponou XLS nesoucí makra se škodlivým kódem. Na tom by nebylo nic neobvyklého - soubory se škodlivými makry jsou útočníky užívány velmi často - zmiňovaná makra však v tomto případě nebyla typu VBA, ale typu Excel 4, v důsledku čehož mnoho anti-malware řešení nebylo (a v době psaní tohoto textu není) schopno škodlivý kód v nich detekovat.

Makra Excel 4 jsou mechanismus, který historicky (před přidáním podpory pro Visual Basic for Applications do Excelu v roce 1993) umožňoval vkládat do Excelových dokumentů spustitelný kód. I přes své citelné stáří jsou makra tohoto typu stále podporována a je tedy možné je v moderním Excelu spustit.

Vzhledem k jejich historické povaze s nimi však nedokáže vhodně pracovat velké množství anti-malware nástrojů, které tak nejsou schopny případný v nich obsažený škodlivý kód identifikovat ani po několika dnech od jejich vytvoření. Vhodně to demonstruje vzorek, který jsme detekovali před čtyřmi dny, u něhož je v době psaní předloženého textu poměr detekcí na Virus Total 14​/60. Ještě nižší úspěšnost při detekci (dle Virus Total 5​/60) mají anti-malware řešení u vzorku detekovaného před dvěma dny, jehož analýzu dnes publikoval v rámci Internet Storm Center kolega Xavier Mertens.

Pozitivní zprávou je, že i v případě maker typu Excel 4 je po otevření souboru standardně zobrazeno obvyklé varování a uživatel tak má možnost spuštění kódu nepovolit.

Varování při otevření souboru s makrem typu Excel 4

Vzhledem k často nedostatečným znalostem kybernetických hrozeb na straně uživatelů však není zcela optimální pouze pasivně spoléhat na jejich uvědomělost.

Interním bezpečnostním týmům a IT oddělením tak lze doporučit uživatele na tuto hrozbu upozornit a zdůraznit skutečnost, že anti-malware nástroje instalované na koncových stanicích nutně tento typ hrozby (stejně jako mnoho jiných) nemusí být schopné odhalit.