【安全资讯】Zloader恶意软件新功能可禁用office宏警告

引言

近日，研究人员发现 Zloader恶意软件使用新技术进行传播，其可以在垃圾邮件附件宏中没有任何恶意代码的情况下，下载和执行恶意DLL文件。

简况

初始的攻击向量是一个含有微软word附件的钓鱼邮件。打开该word附件后，就会从远程服务器下载一个密码保护的Excel文件。

Word文件的VBA会读取下载的XLS文件的单元格内容，并以宏的形式写入XLS VBA。

宏写入下载的XLS文件后，word文件就会在注册表中设置策略来禁用Excel宏警告，并从Excel文件中动态调用宏函数。

结果就是下载最终的zloader payload。然后，zloader payload通过rundll32.exe动态执行。

恶意软件会通过含有word附件的钓鱼邮件传输。Word文件打开且宏启用时，word文件就会下载和打开另一个有密码保护的Excel文件。在下载XLS文件后，word VBA会从XLS中读取单元格内容，为该xls文件创建一个新的宏，并将单元格内容写入xls VBA宏。

宏写入后，word文档就会在注册表中设置策略来禁用Excel宏警告，并从Excel文件中调用恶意宏函数。然后，Excel文件就会下载zloader payload。然后，Zloader payload就会用rundll32.eze执行。

感染流程图

结论

恶意文档一直是大多数恶意软件的切入点，这些攻击一直在改进其感染技术和混淆方法，不仅限于从 VBA 直接下载有效负载，出于安全考虑，Microsoft Office 应用程序中默认禁用宏。建议仅当收到的文档来自可信来源时启用它们是安全的。