【安全资讯】Dridex恶意软件使用Excel 4.0 宏进行分发传播

引言

Dridex是一种银行恶意软件，用于收集与银行相关的用户信息，还可以通过加载器下载主模块以执行其他恶意操作。研究人员发现，通过 Excel 文件分发 Dridex 的方法正在变化。最近分发的 Excel 文件使用 Excel 4.0 宏，而不是以前使用的 VBA 宏。

简况

下图显示了目前正在分发的 Excel 文件的内容，攻击者使用各种图像来诱使用户单击“启用宏”按钮：

用于执行恶意活动的宏是 Excel 4.0 宏，而不是VBA宏。当宏运行时，单元格中的公式会通过Auto_Open自动执行，创建并运行恶意文件。这个阶段使用的恶意数据分散在带有注释的单元格中，可以使用显示笔记功能来检查恶意数据。保存在笔记中的数据显示了文件的创建路径和运行它的命令。创建的文件的数据以十进制保存在单元格 (D160:AR521) 中。创建的恶意文件以 sct 扩展名保存在 ProgramData 文件夹中，并通过 wmic 命令执行。

下图是创建的 sct 文件的一部分代码，用许多注释进行了混淆：

运行该文件时，它会在 ProgramData 文件夹中创建一个额外的 sct 文件。额外创建的文件具有运行后创建的dll文件的功能。该文件尝试连接到 5 个 URL ，下载恶意文件并将其保存在 ProgramData 文件夹中，扩展名为 dll，下载的dll文件为Dridex。

总结

由于分发 Dridex 的 Excel 文件在不断变化，并且包含恶意宏的文件主要通过垃圾邮件分发，因此用户应避免打开来源不明的文件。