【安全资讯】攻击者利用购物主题诱饵传播恶意 Excel 文件

引言

美国黑色星期五购物节期间，研究人员发现了利用购物主题诱饵的恶意邮件活动。攻击者在活动中利用电子邮件分发恶意 Excel 文件。

简况

电子邮件中附有一个 Excel 文件，其中包含一个 XLSB excel 二进制文件形式的 Excel 4.0 宏，检查系统是否为域控制器，然后激活其他恶意功能。所附 Excel 文件的文件名为“promo details-[number].xlsb”（促销详情），文件格式为 XLSB。XLSB 是 Excel 二进制文件格式，其文件结构与 XLS 和 XLSX 文件的文件结构不同。XLSB 由十六进制二进制文件组成，这使得研究人员或具有目标文件扫描功能的反恶意软件更难解密其代码。

运行 Excel 文件后，显示如下：

启用宏后单击图像将激活集成的恶意功能，这是为了避免自动分析系统等检测措施。此外，攻击者在 Excel 文件中添加了“保护”，使文件分析变得复杂。当用户单击图像时，该文件会在 ProgramData 目录中创建一个恶意文件并通过 WMIC 运行。恶意文件是伪装成RTF文件的VBScript文件。

VBScript 的主要特点如下：

• 检查用户系统是否是域控制器，如果是域控制器，检查网络连接是否可用；如果不是域控制器，则不运行其余功能
• 在 ProgramData 目录中创建恶意 DLL 文件
• 使用 Rundll32.exe 进程运行恶意 DLL 文件 C:\ProgramData\nianigger.bin DllRegisterServer

总结

此次发现的电子邮件和恶意 Excel 文件使用“促销详情”作为诱饵，研究人员估计，即使在黑色星期五购物季结束后，此类利用促销诱饵的攻击事件可能还会增多。