Μια νέα εκστρατεία διαδίδει το Trojan απομακρυσμένης πρόσβασης LimeRAT χρησιμοποιώντας μια παλιά τεχνική κρυπτογράφησης αρχείων Excel. Το LimeRAT είναι ένα απλό Trojan που έχει σχεδιαστεί για υπολογιστές Windows. Αυτό το malware μπορεί να εγκαταστήσει backdoors σε μολυσμένους υπολογιστές και να κρυπτογραφήσει αρχεία με τον ίδιο ακριβώς τρόπο όπως τα άλλα είδη ransomware, να προσθέσει υπολογιστές σε botnets και να εγκαταστήσει miners κρυπτονομισμάτων. Επιπλέον, το LimeRAT Trojan μπορεί να εξαπλωθεί μέσω συνδεδεμένων μονάδων USB, να απεγκατασταθεί εάν ανιχνευθεί μια εικονική μηχανή (VM), να “κλειδώσει” οθόνες και να κλέψει δεδομένα που αποστέλλονται στη συνέχεια σε ένα server εντολών και ελέγχου (C2) μέσω κρυπτογράφησης AES (Advanced Encryption Standard). Σε μια νέα εκστρατεία που ανακαλύφθηκε από την Mimecast, το Trojan εμφανίζεται ως payload σε έγγραφα Excel και διαδίδεται μέσω phishing μηνυμάτων. Οι ερευνητές ανέφεραν σε σχετική δημοσίευση στο blog της εταιρείας ότι τα έγγραφα Excel είναι μόνο για ανάγνωση – και όχι κλειδωμένα – καθώς το Excel τα κρυπτογραφεί χωρίς να απαιτεί από τους χρήστες να θέσουν κωδικό πρόσβασης.
Για να αποκρυπτογραφήσει το αρχείο, όταν ανοίξει, το Excel θα προσπαθήσει να χρησιμοποιήσει έναν ενσωματωμένο κωδικό πρόσβασης, το “VelvetSweatshop”, ο οποίος εφαρμοζόταν στο παρελθόν από τους προγραμματιστές της Microsoft. Εάν αυτό πετύχει, το Excel αποκρυπτογραφεί το αρχείο και επιτρέπει την εκκίνηση μακροεντολών και την έγχυση κακόβουλου payload, διατηρώντας παράλληλα το έγγραφο μόνο για ανάγνωση.
Συνήθως, εάν αποτύχει η αποκρυπτογράφηση μέσω του VelvetSweatshop, τότε οι χρήστες πρέπει να θέσουν κωδικό πρόσβασης. Ωστόσο, η λειτουργία που επιτρέπει μόνο την ανάγνωση ενός αρχείου παρακάμπτει αυτό το βήμα, μειώνοντας έτσι τα βήματα που απαιτούνται για να καταστεί δυνατή η πρόσβαση σε έναν υπολογιστή Windows. Σύμφωνα με τους ερευνητές, το πλεονέκτημα που έχει για έναν χάκερ η λειτουργία που επιτρέπει μόνο την ανάγνωση σε αρχεία Excel, είναι ότι δεν απαιτεί είσοδο χρήστη, ενώ το σύστημα του Microsoft Office δεν θα εμφανίσει κάποια προειδοποίηση παρά μόνο μία ειδοποίηση που θα λέει ότι το αρχείο είναι μόνο για ανάγνωση.
Η νέα εκστρατεία που έχει δημιουργηθεί για τη διάδοση του LimeRAT χρησιμοποιεί αυτή την τεχνική, η οποία πρωτοεμφανίστηκε το 2013 και παρουσιάστηκε σε μια διάσκεψη του Virus Bulletin. Επιπλέον, υπάρχει μία ευπάθεια που εντοπίζεται ως CVE-2012-0158, την οποία εκμεταλλεύονται οι χάκερς. Αξίζει να σημειωθεί ότι το θέμα αυτό έχει παρουσιαστεί πριν πολύ καιρό. Ωστόσο, η Sophos σημειώνει ότι οι χάκερς εξακολουθούν να εκμεταλλεύονται την εν λόγω ευπάθεια σε μια υπόθεση που θεωρείται “αξιοσημείωτη”. Η Mimecast αναφέρει ότι οι χάκερς χρησιμοποιούν επίσης ένα σύνολο άλλων τεχνικών, σε μια προσπάθεια να εξαπατήσουν τα συστήματα των χρηστών, κρυπτογραφώντας το περιεχόμενο του υπολογιστικού φύλλου για να κρύψουν την εκμετάλλευση και το payload. Τέλος, η Microsoft έχει ενημερωθεί ότι η εν λόγω ευπάθεια χρησιμοποιείται και πάλι.
