根據(jù)最新研究，黑客們越來越多地使用Excel 4.0文件作為初始載體來傳播ZLoader和Quakbot等惡意軟件。

[[396838]]

上述發(fā)現(xiàn)是通過對2020年11月至2021年3月期間16萬份Excel 4.0文件進行分析而來，其中90%以上被歸類為惡意或可疑文件。

ReversingLabs的研究人員在4月28日發(fā)布的一份報告中表示，對于被當作目標的企業(yè)和個人來說，最大的威脅是用來檢測惡意Excel 4.0文件的安全解決方案仍然存在很多問題，這讓許多惡意Excel文件在傳統(tǒng)的基于簽名的檢測以及YARA規(guī)則中溜走。

通過Excel被傳播的Quakbot(又名QBOT)木馬，能夠竊取銀行憑證和其他金融信息。并且，該木馬還擁有類似蠕蟲病毒的傳播特性，通常通過武器化的Office文檔進行傳播，是一個臭名昭著的銀行木馬。

而QakBot的變種則變本加厲，擁有更多功能。其變種目前已經(jīng)能夠傳播其他惡意軟件的有效載荷、記錄用戶的擊鍵，甚至能夠在目標設(shè)備上創(chuàng)建一個后門。

在ReversingLabs的分析報告中，該惡意軟件不僅用十分可信的誘餌誘騙用戶啟用宏，并且還附帶了一個含XLM宏的嵌入式文件。該文件能夠下載并執(zhí)行從遠程服務(wù)器檢索而來的惡意第二階段有效載荷。

另有一個樣本內(nèi)包含了一個Base64編碼的有效載荷，其試圖從一個簡略的URL下載其他惡意軟件。

Excel 4.0宏(XLM)是Visual Basic for Applications(VBA)的前身，是出于向下兼容的需求而被納入Microsoft Excel的一個遺留功能。微軟在其支持文件中也曾警告，如果啟用所有的宏將會導(dǎo)致 "潛在危險代碼 "的運行。

對此，研究人員指出，盡管向下兼容非常重要，但從安全的角度來看，維護30年前的宏會帶來重大的安全風險。這些宏應(yīng)該有一個預(yù)期壽命，在某個合適的時間點被廢棄可能才是最好的解決方案。

來源：thehackernews