Des fichiers Excel malveillants contournent les antivirus à l'aide de la bibliothèque .NET

Questions autour de la sécurité en général.
Pour les désinfections, merci de vous rendre dans la partie Windows --> Virus : Aide Malwares
Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 6295
Inscription : 02 juin 2012 20:48

Des fichiers Excel malveillants contournent les antivirus à l'aide de la bibliothèque .NET

Message par Parisien_entraide »

logo.jpg


2020-09-10_140952.jpg
2020-09-10_140952.jpg (11.14 Kio) Consulté 89 fois


Des fichiers Excel malveillants contournent les antivirus à l'aide de la bibliothèque .NET


En complément de Virus Office Word Excel

Les groupes de cybercriminels utilise des tactiques intelligentes pour contourner les scanners de virus à l'aide de feuilles de calcul Excel malveillantes.

Dans leurs attaques, les cybercriminels utilisent des bibliothèques .NET.

Les spécialistes NVISO Labs, ont découvert un groupe de cybercriminels du nom de "" Epic Manchego" relativement nouveau, en activité depuis juin quyi exploitent la bibliothèque .net

Plus globalement, les cybercriminels ciblent les entreprises du monde entier, qui reçoivent des e-mails de phishing spéciaux avec une pièce jointe malveillante (fichiers Word , excel, Adobe)
Jusque là rien de nouveau, il existe des milliers d'attaques de ce type.

Cependant, l'équipe NVISO a noté la particularité des documents Excel joints, qui ont réussi à contourner les contrôles antivirus.

2020-09-10_142633.jpg

Le fait est que les opérateurs Epic Manchego ont utilisé une bibliothèque .NET appelée EPPlus , avec laquelle ils ont compilé les tables.
Malgré l'utilisation d'une méthode différente pour générer leurs documents Excel malveillants, les fichiers de feuille de calcul basés sur EPPlus fonctionnent toujours comme n'importe quel autre document Excel.

En règle générale, les développeurs utilisent cette bibliothèque dans leurs applications pour ajouter des fonctionnalités telles que " Enregistrer sous forme de tableau" ou "Exporter vers Excel".

EPPlus peut être utilisé pour créer des fichiers dans différents formats de tableau.
Ce code est également protégé par mot de passe pour empêcher les systèmes de sécurité et les chercheurs d'analyser son contenu.
2020-09-10_142525.jpg

Même Excel 2019 est pris en charge.

C'est exactement ce qu'utilisent les cybercriminels: ils enregistrent leurs documents malveillants au format Office Open XML (OOXML).

Cette approche diffère en ce que ces tables générées n'ont pas de section avec le code VBA compilé.

Comme vous le savez, les programmes antivirus et analyseurs de courrier électroniquee cherchent des signes de contenu malveillant dans le code VBA.
Dans ce cas, le faible pourcentage de détection des fichiers Excel attachés aux e-mails de phishing s'explique logiquement.

Les charges utiles finales étaient des chevaux de Troie infostealer classiques comme Azorult, AgentTesla, Formbook, Matiex et njRat, qui vidaient les mots de passe des navigateurs, des e-mails et des clients FTP de l'utilisateur, et les envoyaient aux serveurs d'Epic Machengo.

Bien que la décision d'utiliser EPPlus pour générer leurs fichiers Excel malveillants ait pu avoir certains avantages, au début, elle a également fini par nuire à Epic Manchego à long terme, car elle a permis à l'équipe NVISO de détecter très facilement toutes ses opérations passées en recherchant pour les documents Excel étranges.

En fin de compte, NVISO a déclaré avoir découvert plus de 200 fichiers Excel malveillants liés à Epic Manchego, le premier datant du 22 juin de cette année.


NVISO dit que ce groupe semble expérimenter cette technique et ce depuis les premières attaques, et qu ils ont augmenté à la fois leur activité et la sophistication de leurs attaques, ce qui suggère que cela pourrait voir une utilisation plus large à l'avenir.

Néanmoins, les chercheurs de NVISO n'étaient pas totalement surpris que des groupes de malwares utilisent désormais EPPlus.

«Nous connaissons cette bibliothèque .NET, car nous l'utilisons depuis quelques années pour créer des documents malveillants (« maldocs ») pour notre équipe rouge et nos testeurs d'intrusion», a déclaré la société.

_____________________________
Source : https://blog.nviso.eu/2020/09/01/epic-m ... /#comments

Attention ! Si vous visitez le lien source (ce que je conseille pour les détails) de ne pas télécharger ce qui se trouve à

https://github.com/NVISO-BE/nviso-cti/t ... nchego_IOC même si...
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House

Répondre

Revenir à « Securite informatique »