网络罪犯广泛滥用Excel 4.0宏传播恶意软件

根据最新研究，威胁参与者越来越多地采用Excel 4.0文档作为分发ZLoader和Quakbot等恶意软件的初始阶段载体。

调查结果来自2020年11月和2021年3月之间的160000份Excel 4份文件，其中超过90%份被归类为恶意或可疑。

ReversingLabs的研究人员在今天发布的一份报告中说：“目标公司和个人面临的最大风险是，安全解决方案在检测恶意Excel 4.0文档方面仍然存在很多问题，通过基于签名的常规检测和分析人员编写的YARA规则，使这些文档中的大多数都出现漏洞。”。

Excel 4.0宏（XLM）是Visual Basic for Applications（VBA）的前身，由于向后兼容的原因，它是Microsoft Excel中的一项遗留功能。微软在其支持文档中警告称，启用所有宏可能会导致“潜在危险代码”运行。

自2007年被发现以来，不断进化的Quakbot（又名QBOT）一直是一种臭名昭著的银行特洛伊木马，能够窃取银行凭证和其他金融信息，同时还具有类似蠕虫的传播功能。QakBot的变种通常通过武器化的办公室文件传播，能够提供其他恶意软件有效载荷，记录用户击键，甚至为受损机器创建后门。

在ReversingLabs分析的一份文件中，该恶意软件不仅诱骗用户以令人信服的诱惑启用宏，还附带了包含XLM宏的嵌入式文件，这些宏下载并执行从远程服务器检索到的恶意第二阶段有效负载。另一个示例在其中一张表单中包含一个Base64编码的有效负载，该负载随后试图从一个粗略的URL下载其他恶意软件。

研究人员指出：“尽管向后兼容性非常重要，但有些东西应该有一个预期寿命，从安全角度来看，如果它们在某个时间点被弃用，那可能是最好的。”。“维护30年历史的宏的成本应该与使用这种过时技术带来的安全风险进行权衡。”