Η Microsoft ανακοίνωσε χθες ότι το Avaddon ransomware εξαπλώθηκε αυτήν την εβδομάδα μέσω μιας παλιάς τεχνικής που ξανά ήρθε στο προσκήνιο. Οι επιθέσεις που χρησιμοποιούν αυτό το ransomware φαίνεται να είναι πιο στοχευμένες, ενώ βασίζονται σε κακόβουλες μακροεντολές του Excel 4.0 για να κατεβάσουν το κακόβουλο λογισμικό απευθείας σε ένα σύστημα.
Πρόκειται για μία εκστρατεία που είχε ως επίκεντρο την Ιταλία. Συγκεκριμένα, αυτό το κακόβουλο λογισμικό κρυπτογράφησης αρχείων εμφανίστηκε στις αρχές Ιουνίου, και μόλυνε χρήστες ως μέρος μιας μαζικής εκστρατείας ανεπιθύμητων μηνυμάτων (spam). Οι χειριστές του malware προσελκύουν συνεργάτες για τη διάδοση του ransomware payload.
Η Microsoft Security Intelligence επεσήμανε πως η τελευταία προσπάθεια των χάκερς που βρίσκονται πίσω από αυτή την εκστρατεία, είχε συγκεκριμένους στόχους κυρίως στην Ιταλία, ενώ έστελνε email με αρχεία που περιείχαν κακόβουλες μακροεντολές του Excel 4.0.
Ένα τέτοιο email που βρήκε ένας κυνηγός malware με το όνομα JamesWT_MHT, παρουσιάζεται με τη μορφή ειδοποίησης που υποτίθεται ότι προέρχεται από την Επιθεώρηση Εργασίας και απευθύνεται σε μια μικρή επιχείρηση, θέλοντας να την ενημερώσει για παραβιάσεις στον χώρο εργασίας κατά τη διάρκεια μιας περιόδου κρίσης, όπως για παράδειγμα η υφιστάμενη πανδημία του COVID-19. Στόχος των email υποτίθεται πως είναι να προειδοποιήσουν τους παραλήπτες τους για επικείμενες κυρώσεις και πιθανές νομικές ενέργειες. Επιπλέον, στο συνημμένο υπάρχει ένα αρχείο ZIP με το όνομα “Επίσημη ειδοποίηση”. Επίσης, το συνημμένο περιέχει μια μακροεντολή του Excel 4.0 (XML), η οποία είναι συμβατή και με σύγχρονα λογισμικά όπου χρησιμοποιείται ο κώδικας VBA.
Όταν εκτελείται, η μακροεντολή κατεβάζει απευθείας ένα δείγμα του Avaddon ransomware, χωρίς ενδιάμεσο downloader. Πρόκειται για μία τεχνική που παρατηρήθηκε πρόσφατα και σε άλλoυς κακόβουλους ηθοποιούς κρυπτογράφησης αρχείων. Η χρήση της παλιάς μακροεντολής είναι αποτελεσματική. Η επιλογή μακροεντολών του Excel 4.0 για τη διάδοση του κακόβουλου λογισμικού μπορεί να φαίνεται περίεργη, δεδομένου ότι αυτό κυκλοφόρησε στα προϊόντα του Microsoft Office πριν από 28 χρόνια. Ωστόσο, το Avaddon και πολλοί άλλοι κακόβουλου ηθοποιοί άρχισαν πρόσφατα να τις χρησιμοποιούν.
Στην περίπτωση του Avaddon, αυτό φαίνεται να αποφέρει αποτελέσματα καθώς η ID Ransomware ιστοσελίδα έλαβε μεγάλο αριθμό υποβολών από τα στοχοποιημένα θύματα. Η άνοδος σημειώθηκε στις 18 Ιουνίου, 28 και 30 Ιουνίου, κάτι που συνάδει με τις παρατηρήσεις της Micosoft. Ενώ πρόκειται για μία παλιά τεχνική, οι κακόβουλες μακροεντολές του Excel 4.0 γίνονται όλο και πιο δημοφιλείς σε malware εκστρατείες τους τελευταίους μήνες. Αυτή η τεχνική έχει υιοθετηθεί από πολλές εκστρατείες, συμπεριλαμβανομένων εκείνων που εκμεταλλεύονται την πανδημία του COVID-19 για να εξαπατήσουν τα υποψήφια θύματα.
Έχοντας κυκλοφορήσει το 1992, το Excel 4.0 χρησιμοποιεί XML-based μακροεντολές που αποθηκεύουν συναρτήσεις σε αρχεία BIFF (Binary Interchange File Format). Επομένως, είναι πολύ πιο δύσκολο να αναλυθούν, σε σύγκριση με τις μακροεντολές VBA που χρησιμοποιούνται από το Excel 5.0.
Η Microsoft παρατήρησε αύξηση των malware email εκστρατειών που χρησιμοποιούν μακροεντολή του Excel 4.0 τους τελευταίους μήνες, ενώ επισημαίνει πως από τον Απρίλιο, η ομάδα που βρίσκεται πίσω από την εκστρατεία του Avaddon ransomware, άρχισε να χρησιμοποιεί τον COVID-19 ως “δόλωμα” για να προσελκύσει τα υποψήφια θύματα.
