[TBR=https://img.mevsim.org/images/2020/09/06/do-exel-data-entry.jpg][/TBR]
Bir kötü amaçlı yazılım grubu; tespit edilme oranı düşük, güvenlik sistemlerini atlatma şansı yüksek zararlı Excel dosyaları oluşturdu. Grup, oluşturduğu zararlı Excel dosyalarıyla dünya genelinde birçok şirkete saldırdı.
Hackerların sistemlere girebilmek için kullandıkları yöntemler bazen gerçekten şaşkınlık yaratabiliyor. Yine bu şaşkınlık yaratan yöntemlerden yeni bir tanesi daha keşfedildi. Bir kötü amaçlı yazılım grubu, zararlı Excel dosyaları oluşturdu. Oluşturulan bu dosyaların tespit edilme oranı bir hayli düşükken güvenlik sistemlerini atlatma oranı da bir o kadar yüksek.
NVISO Lab'deki güvenlik araştırmacıları tarafından keşfedilen Epic Manchego isimli bu kötü amaçlı yazılım grubu, haziran ayından bu yana aktif ve zararlı Excel dosyaları içeren e-postalarla dünya genelindeki şirketleri hedef alıyor. NVISO tarafından yapılan açıklamaya göre bunlar, standart Excel tabloları değil. Bu zararlı Excel dosyaları, güvenlik tarayıcılarını atlatabiliyor.
Zararlı Excel dosyaları
NVISO Lab'e göre güvenlik tarayıcılarını atlatabilmelerinin sebebi, standart Microsoft Office yazılımlarıyla değil EPPlus adı verilen .NET kütüphanesiyle derlenmeleri. Bu kütüphane, birçok formatta tablo oluşturmak için kullanılabiliyor ve hatta Excel 2019'u da destekliyor. NVISO, Epic Manchego tarafından oluşturulan Office Open XML (OOXML) tablolarında, Microsoft Office yazılımlarında derlenen Excel dokümanlarına özel olarak bulunan derlenmiş VBA kodunun yer almadığını söyledi.
Bu derlenmiş VBA kodu, genellikle saldırganın zararlı kodunun bulunduğu yer oluyor. NVISO, Epic Manchego'nun zararlı kodlarını özel bir VBA formatında depoladığını ve bunun da şifreli olduğunu, bu sayede güvenlik sistemlerini ve içeriği analiz eden araştırmacıları atlatabildiğini ifade ediyor. Ayrıca bu zararlı Excel dokümanlarını oluşturmak için farklı bir metot kullanılsa da EPPlus tabanlı tablolar herhangi bir Excel dokümanı gibi çalışıyor.
Zararlı dokümanlar, zararlı makro kodları içerisinde barındırıyor. Eğer ki Excel dosyasını açan kullanıcı, düzenlemeyi etkinleştir butonuna tıklarsa bu makro kodlar, zararlı yazılımı kurbanın bilgisayarını indirip yüklüyor. Son olarak Azorult, AgentTesla, Formbook, Matiex ve njRat gibi bilgi çalan Truva atı virüsleri kullanıcının tarayıcılarını, e-postalarını ve FTP istemlerini Epic Machengo'nun sunucularına gönderiyor.
Zararlı Excel dosyaları oluşturmak için EPPlus kullanmak başlangıçta Epic Manchego'nun yararına olsa da uzun vade de grubun aleyhine işliyor. Tuhaf Excel dosyaları taranarak Epic Manchego'nun geçmişteki operasyonları takip edilebiliyor. NVISO da bu yöntemle Epic Manchego grubuyla ilişkili 200'den fazla zararlı Excel dosyası tespit etti. Bu dosyaların ilkinin ise 22 Haziran tarihli olduğu keşfedildi.
NVISO, grubun bu teknikte deneyim kazandığını ve ilk saldırıdan sonra hem saldırılarını hem de saldırılarının karmaşıklığını artırdıklarını ifade etti. Ayrıca bu saldırılarının gelecekte daha geniş bir kullanım alanı bulabileceğini de dile getirdi.
Bir kötü amaçlı yazılım grubu; tespit edilme oranı düşük, güvenlik sistemlerini atlatma şansı yüksek zararlı Excel dosyaları oluşturdu. Grup, oluşturduğu zararlı Excel dosyalarıyla dünya genelinde birçok şirkete saldırdı.
Hackerların sistemlere girebilmek için kullandıkları yöntemler bazen gerçekten şaşkınlık yaratabiliyor. Yine bu şaşkınlık yaratan yöntemlerden yeni bir tanesi daha keşfedildi. Bir kötü amaçlı yazılım grubu, zararlı Excel dosyaları oluşturdu. Oluşturulan bu dosyaların tespit edilme oranı bir hayli düşükken güvenlik sistemlerini atlatma oranı da bir o kadar yüksek.
NVISO Lab'deki güvenlik araştırmacıları tarafından keşfedilen Epic Manchego isimli bu kötü amaçlı yazılım grubu, haziran ayından bu yana aktif ve zararlı Excel dosyaları içeren e-postalarla dünya genelindeki şirketleri hedef alıyor. NVISO tarafından yapılan açıklamaya göre bunlar, standart Excel tabloları değil. Bu zararlı Excel dosyaları, güvenlik tarayıcılarını atlatabiliyor.
Zararlı Excel dosyaları
NVISO Lab'e göre güvenlik tarayıcılarını atlatabilmelerinin sebebi, standart Microsoft Office yazılımlarıyla değil EPPlus adı verilen .NET kütüphanesiyle derlenmeleri. Bu kütüphane, birçok formatta tablo oluşturmak için kullanılabiliyor ve hatta Excel 2019'u da destekliyor. NVISO, Epic Manchego tarafından oluşturulan Office Open XML (OOXML) tablolarında, Microsoft Office yazılımlarında derlenen Excel dokümanlarına özel olarak bulunan derlenmiş VBA kodunun yer almadığını söyledi.
Bu derlenmiş VBA kodu, genellikle saldırganın zararlı kodunun bulunduğu yer oluyor. NVISO, Epic Manchego'nun zararlı kodlarını özel bir VBA formatında depoladığını ve bunun da şifreli olduğunu, bu sayede güvenlik sistemlerini ve içeriği analiz eden araştırmacıları atlatabildiğini ifade ediyor. Ayrıca bu zararlı Excel dokümanlarını oluşturmak için farklı bir metot kullanılsa da EPPlus tabanlı tablolar herhangi bir Excel dokümanı gibi çalışıyor.
Zararlı dokümanlar, zararlı makro kodları içerisinde barındırıyor. Eğer ki Excel dosyasını açan kullanıcı, düzenlemeyi etkinleştir butonuna tıklarsa bu makro kodlar, zararlı yazılımı kurbanın bilgisayarını indirip yüklüyor. Son olarak Azorult, AgentTesla, Formbook, Matiex ve njRat gibi bilgi çalan Truva atı virüsleri kullanıcının tarayıcılarını, e-postalarını ve FTP istemlerini Epic Machengo'nun sunucularına gönderiyor.
Zararlı Excel dosyaları oluşturmak için EPPlus kullanmak başlangıçta Epic Manchego'nun yararına olsa da uzun vade de grubun aleyhine işliyor. Tuhaf Excel dosyaları taranarak Epic Manchego'nun geçmişteki operasyonları takip edilebiliyor. NVISO da bu yöntemle Epic Manchego grubuyla ilişkili 200'den fazla zararlı Excel dosyası tespit etti. Bu dosyaların ilkinin ise 22 Haziran tarihli olduğu keşfedildi.
NVISO, grubun bu teknikte deneyim kazandığını ve ilk saldırıdan sonra hem saldırılarını hem de saldırılarının karmaşıklığını artırdıklarını ifade etti. Ayrıca bu saldırılarının gelecekte daha geniş bir kullanım alanı bulabileceğini de dile getirdi.