網(wǎng)絡(luò)犯罪分子不再使用Microsoft Excel作為將惡意軟件潛入潛在受害者PC的方法。

安全供應(yīng)商Hornetsecurity表示，其研究人員在7月份記錄了依靠惡意Excel文檔的載有惡意軟件的電子郵件的數(shù)量顯著下降。該公司的月度電子郵件威脅報(bào)告指出，從6月到7月底，Excel攻擊下降了近10個(gè)百分點(diǎn)。

Hornetsecurity團(tuán)隊(duì)認(rèn)為，這主要是由于微軟做出了一項(xiàng)關(guān)鍵決定，即禁用宏代碼執(zhí)行，長(zhǎng)期以來(lái)，惡意軟件操作員濫用宏代碼來(lái)劫持打開(kāi)文檔文件的機(jī)器。

Hornetsecurity在其報(bào)告中說(shuō)：“攻擊中使用的Excel文檔從14.4%下降到5.1%，這可歸因于攻擊者改變策略，因?yàn)槲④洸扇×四J(rèn)禁用Excel 4.0宏的措施。”

該報(bào)告中寫(xiě)道：“通過(guò)惡意Excel 4.0宏分發(fā)的主要惡意軟件是QakBot和Emotet，QakBot切換到使用HTML挾帶和DLL側(cè)載的復(fù)雜感染鏈，我們將在本報(bào)告的后面部分重點(diǎn)介紹?！?

在Excel宏默認(rèn)關(guān)閉的情況下，研究人員發(fā)現(xiàn)很多較大的惡意軟件組不得不尋找其他方法來(lái)使用更復(fù)雜的方法感染機(jī)器。上面提到的Qakbot就是一個(gè)極端的例子。

Hornetsecurity團(tuán)隊(duì)發(fā)現(xiàn)，Qakbot攻擊者選擇構(gòu)建這樣的機(jī)制，其中附加的HTML文檔顯示為Adobe PDF文檔，并提示受害者以閱讀器軟件為幌子下載zip文件。

然后，該有效負(fù)載會(huì)自動(dòng)啟動(dòng)，并安裝用于側(cè)載攻擊和最終安裝Qakbot惡意軟件本身的DLL文件。 雖然惡意軟件運(yùn)營(yíng)者改變網(wǎng)絡(luò)釣魚(yú)攻擊的技術(shù)和策略并不罕見(jiàn)，但研究人員指出，作為對(duì)微軟新安全政策的回應(yīng)，Qakbot的轉(zhuǎn)變尤為迅猛。

Hornetsecurity公司首席執(zhí)行官Daniel Hofmann稱：“代碼挾帶方法在逃避檢測(cè)方面很有效，并且允許Qakbot感染大量受害者。但是，這種方法需要Qakbot繼續(xù)更新其逃避技術(shù)以保持領(lǐng)先于檢測(cè)。我們可能會(huì)看到交付方式的細(xì)微變化，例如，代碼可能會(huì)使用HTML以外的其他文件類型進(jìn)行挾帶?！?

盡管新的安全措施對(duì)Excel攻擊的數(shù)量產(chǎn)生了短期影響，但Hofmann表示，在可預(yù)見(jiàn)的未來(lái)，電子表格應(yīng)用程序可能仍然是通過(guò)網(wǎng)絡(luò)釣魚(yú)和社會(huì)工程攻擊傳播惡意軟件的流行方法。

Hofmann說(shuō)：“雖然網(wǎng)絡(luò)釣魚(yú)電子郵件附帶的Excel文檔數(shù)量減少，但Hornetsecurity仍然觀察到Excel文檔具有危險(xiǎn)性，攻擊者只是改變了他們?nèi)绾蝹鬟f惡意Excel文檔的策略?！?/p>