根據(jù)最新研究，黑客們?cè)絹碓蕉嗟厥褂肊xcel 4.0文件作為初始載體來傳播ZLoader和Quakbot等惡意軟件。

[[396838]]

上述發(fā)現(xiàn)是通過對(duì)2020年11月至2021年3月期間16萬份Excel 4.0文件進(jìn)行分析而來，其中90%以上被歸類為惡意或可疑文件。

ReversingLabs的研究人員在4月28日發(fā)布的一份報(bào)告中表示，對(duì)于被當(dāng)作目標(biāo)的企業(yè)和個(gè)人來說，最大的威脅是用來檢測惡意Excel 4.0文件的安全解決方案仍然存在很多問題，這讓許多惡意Excel文件在傳統(tǒng)的基于簽名的檢測以及YARA規(guī)則中溜走。

通過Excel被傳播的Quakbot(又名QBOT)木馬，能夠竊取銀行憑證和其他金融信息。并且，該木馬還擁有類似蠕蟲病毒的傳播特性，通常通過武器化的Office文檔進(jìn)行傳播，是一個(gè)臭名昭著的銀行木馬。

而QakBot的變種則變本加厲，擁有更多功能。其變種目前已經(jīng)能夠傳播其他惡意軟件的有效載荷、記錄用戶的擊鍵，甚至能夠在目標(biāo)設(shè)備上創(chuàng)建一個(gè)后門。

在ReversingLabs的分析報(bào)告中，該惡意軟件不僅用十分可信的誘餌誘騙用戶啟用宏，并且還附帶了一個(gè)含XLM宏的嵌入式文件。該文件能夠下載并執(zhí)行從遠(yuǎn)程服務(wù)器檢索而來的惡意第二階段有效載荷。

另有一個(gè)樣本內(nèi)包含了一個(gè)Base64編碼的有效載荷，其試圖從一個(gè)簡略的URL下載其他惡意軟件。

Excel 4.0宏(XLM)是Visual Basic for Applications(VBA)的前身，是出于向下兼容的需求而被納入Microsoft Excel的一個(gè)遺留功能。微軟在其支持文件中也曾警告，如果啟用所有的宏將會(huì)導(dǎo)致 "潛在危險(xiǎn)代碼 "的運(yùn)行。

對(duì)此，研究人員指出，盡管向下兼容非常重要，但從安全的角度來看，維護(hù)30年前的宏會(huì)帶來重大的安全風(fēng)險(xiǎn)。這些宏應(yīng)該有一個(gè)預(yù)期壽命，在某個(gè)合適的時(shí)間點(diǎn)被廢棄可能才是最好的解決方案。

來源：thehackernews