بیش از پنج ماه است که پژوهشگران امنیتی Lastline تحول ماکروهای مخرب Excel 4.0 را تحت نظر گرفتهاند و سرعت بالایی در این تحولات مشاهده میکنند. اکسل بهعنوان بخش اصلی ابزارهای تولیدی بسیاری از سازمانها راه را برای حملات فیشینگ باز میکند که در این حملات قربانیان فریب داده میشوند تا ماکروهای موجود در اسناد مخرب را که جای پای محکمی برای مهاجمان فراهم میکند، فعال کنند.
Lastline طی پژوهشهای ۵ سالهی خود هزاران نمونهی مخرب مشاهده کرده است که به امواجی تبدیل شدهاند که تصویر کاملی از چگونگی پیشرفت و تکامل این تهدید از نظر پیچیدگی ارائه میدهد. این شرکت امنیت سایبری بیان میکند که روشهای شناساییشده شامل قابلیت فرار از تجزیه و تحلیل خودکار سندباکس و شناسایی مبتنیبر امضا و حتی تجزیه و تحلیل دستی پژوهشگران است. هر موج جدید روشهای جدیدی را معرفی میکند و روی موج قبلی بنا شده است، اما روشهای قدیمی همچنان در نمونههای فعلی هم مورد استفاده قرار میگیرند.
موجهای جدید هر یک یا دو هفته یک بار پدیدار میشوند و هر یک پیشرفتهتر از موج قبلی است که با روشهای جدید عملکرد موج قبلی را توسعه میدهد. به نظر میرسد که این نمونهها توسط یک ابزار یا مولد اسناد ایجاد شدهاند و بسیار شبیه یکدیگر هستند. Lastline بیان میکند که نویسندگان بدافزار، عمدتاً روی دور زدن و مبهمسازی تمرکز کردهاند و عملکرد اصلی نمونههای مشاهدهشده را تغییر ندادهاند: آنها برای بارگیری و اجرای یک بار داده مانند یک فایل EXE یا DLL ایجاد شدهاند.
Lastline خاطرنشان میکند که ایجاد این ماکروها بسیار ساده و آسان است، بنابراین تغییر دادن آنها برای دور زدن شناسایی مبتنیبر امضا آسان است. شرکتهای امنیتی به احتمال زیاد به دلیل عدم وجود راهحلهایی برای ارزیابی صحیح و parse کردن فرمت و ساختار نحوهی ذخیرهسازی این ماکروها در اسناد اکسل، در شناسایی این تهدید دچار مشکل هستند.
موج اول اسناد اکسل مخرب حاوی یک ماکروی مخفی بود که بار داده را به همراه یک تصویر نگهداری میکند تا قربانی را برای فعال کردن کد ماکرو و قابلیت انجام بررسیهای سندباکس و OS فریب دهد. پژوهشگران خاطرنشان کردند که ماکروهای Excel 4.0 قابلیتهای نامحدودی به نویسندگان بدافزار میدهند، بهخصوص که بهسرعت در حال پیشرفت وتحول هستند و شرکتهای امنیتی تلاش میکنند تا با آنها همگام شوند. Lastline نتیجهگیری میکند که ماکروهای Excel 4.0 همچنان ارزش و اهمیت خود را برای مهاجمان اثبات میکنند و یک روش قابل اطمینانی برای دریافت کد آنها بهمنظور اجرا در یک هدف ارائه میدهند. در بسیاری از محیطها، کاربرگهای اکسل دارای ماکرو، برای اهداف تجاری قانونی استفاده میشوند، بنابراین تحلیلگران و شرکتهای امنیتی مجبور میشوند که بهطور مداوم ابزارها و امضاها را بهروزرسانی کنند، زیرا حملات همچنان در حال تحول هستند.
