วายร้ายมัลแวร์! สร้างไฟล์เอกสารเอ็กเซลอันตรายผ่านไลบรารี .NET

มีนักวิจัยด้านความปลอดภัยจาก NVISO ตรวจพบเอกสาร Excel อันตราย ที่คอยแพร่เชื้อมัลแวร์ผ่านสเปรดชีทที่เปิดการทำงานของ VBA ซึ่งสันนิษฐานว่าขบวนการนี้มีผู้อยู่เบื้องหลังเพียงแค่รายเดียว เนื่องจากยังพบตัวอย่างจำนวนน้อย

จากการวิเคราะห์ของทาง NVISO ลงความเห็นว่าไฟล์เอกสารนี้ถูกสร้างขึ้นด้วยซอฟต์แวร์ EPPlus ให้อยู่ในรูปไฟล์ Office Open XML (OOXML) หรือ Open Packaging Conventions (OPC) ที่ประกอบไปด้วยไฟล์ XML และไฟล์ไบนารีเป็นหลัก

ซึ่งปกติเวลาที่ใช้ EPPlus สร้างโปรเจ็กต์ VBA ขึ้นนั้น โค้ด VBA จะยังไม่ได้ถูกคอมไพล์เนื่องจากไม่มีกลไกรองรับ เพราะอัลกอริทึมที่สร้างโค้ด VBA แบบคอมไพล์ถือเป็นความลับของไมโครซอฟท์เท่านั้น พอนักวิจัยตรวจพบไฟล์เอกสารนี้ที่เป็นโค้ดไม่ได้คอมไพล์ จึงรู้ได้ทันทีว่าสร้างขึ้นมาจาก EPPlus

นอกจากนี้ไฟล์เอ็กเซลอันตรายดังกล่าวยังมีหลายคุณสมบัติที่แตกต่างจากเอกสารทั่วไปที่สร้างขึ้นโดย Microsoft Office อย่างถูกต้อง อย่างเช่น การล็อกไฟล์โปรเจ็กต์ด้วยรหัสผ่าน การรันได้อิสระโดยไม่ต้องพึ่งไมโครซอฟท์ออฟฟิศ เป็นต้น

ตัวอย่างไฟล์เอ็กเซลอันตรายตัวแรกนั้นถูกตรวจพบเมื่อวันที่ 22 มิถุนายนที่ผ่านมา จากนั้นก็พบจำนวนการระบาดเพิ่มขึ้นมากกว่า 200 ไฟล์ในช่วง 2 เดือนหลังจากนั้น และแม้การเปิดดูรายละเอียดโปรเจ็กต์จะต้องป้อนรหัสผ่าน

แต่การรันการทำงานของมัลแวร์นั้นไม่ต้องใช้พาสเวิร์ดแต่อย่างใด เพียงแค่ผู้ใช้กดเปิดดูเอกสารก็สามารถเริ่มกิจกรรมได้แล้ว โดยจะดาวน์โหลดข้อมูลอันตรายเพิ่มเติมจากเว็บไซต์หลายแห่งที่แตกต่างกัน ที่ถูกควบคุมโดยแฮ็กเกอร์

สำหรับข้อมูลอันตรายที่โหลดมาในช่วงที่สองนี้ เอนจิ้นแอนตี้ไวรัสจะตรวจจับในรูปของมัลแวร์ที่ชื่อ “AgentTesla” ทั้งนี้แฮ็กเกอร์มีการใช้อีเมล์บริษัทสำหรับเริ่มส่งต่อไฟล์อันตราย แม้ยังไม่ทราบว่าแฮ็กเกอร์สามารถควบคุมบัญชีอีเมล์ดังกล่าวได้มากน้อยแค่ไหนก็ตาม

ที่มา : GBHackers

from:https://www.enterpriseitpro.net/malware-authors-create-malicious-excel/