【安全资讯】黑客滥用Excel 4.0宏传播恶意软件

根据最新研究，越来越多的黑客使用Excel 4.0文件作为初始载体来传播ZLoader和Quakbot等恶意软件。研究人员对2020年11月至2021年3月期间的16万份Excel 4.0文件进行分析，发现其中90%以上被归类为恶意或可疑文件。

Excel 4.0宏（XLM）是Visual Basic for Applications（VBA）的前身，是出于向下兼容的需求而被纳入Microsoft Excel的一个遗留功能。微软在其支持文件中也曾警告，如果启用所有的宏将会导致 "潜在危险代码 "的运行。

通过Excel 4.0传播的Quakbot（又名QBOT）木马，具有窃取银行凭证和其他金融信息的功能，该木马还具备类似蠕虫病毒的传播特性，通常通过武器化的Office文档进行传播，是一个臭名昭著的银行木马。而QakBot的变种拥有更多功能，其变种目前已经能够传播其他恶意软件的有效载荷、记录用户的击键，甚至能够在目标设备上创建后门。

该恶意软件不仅用十分可信的诱饵诱骗用户启用宏，并且还附带了一个含XLM宏的嵌入式文件。该文件能够下载并执行从远程服务器检索而来的恶意第二阶段有效载荷。其中有一个样本包含了一个Base64编码的有效载荷，其试图从一个简略的URL下载其他恶意软件。

对于被当作目标的企业和个人，最大的威胁是用来检测恶意Excel 4.0文件的安全解决方案仍然存在很多问题，这让许多恶意Excel文件可以规避传统的基于签名的检测以及YARA规则。