A macro Excel 4.0, também conhecida como macro XLM 4.0, é uma caraterística benigna de gravação e reprodução do Microsoft Excel que foi introduzida em 1992. Esta peça de código de programação é uma solução para automatizar tarefas repetitivas no Excel, mas, infelizmente, também é uma porta traseira secreta para a entrega de malware.
Tal como a sua antecessora, a macro VBA (Visual Basic for Application), a macro do Excel 4.0 está a ser cada vez mais explorada para armazenar malware oculto. Os agentes de ameaças podem facilmente utilizar esta funcionalidade com 30 anos para criar novas técnicas de ataque, uma vez que podem ofuscar o código XML para ocultar as macros suspeitas.
O que torna este vetor de ataque tão difundido é o facto de as macros do Excel 4.0 serem um componente de fórmula essencial da capacidade principal do Excel. São utilizadas regularmente em vários processos empresariais e é pouco provável que sejam desactivadas ou obsoletas. Por este motivo, os autores de malware introduzem frequentemente um payload malicioso através do código da macro num documento Excel e enviam-no como anexo de correio eletrónico, como aconteceu no primeiro incidente com a macro 4.0.
O Primeiro Ataque de Macro do Excel 4.0
Desde a primeira vaga de ataques de macro 4.0, em meados de fevereiro de 2020[1], um grande número de cibercriminosos cooptou esta técnica. Envolve uma folha infetada com um comando malicioso escondido numa fórmula, enviada como parte de um ficheiro Excel anexado.
Os atacantes usam tácticas de engenharia social para atrair o alvo a abrir o ficheiro. Após a abertura, a vítima é convidada a clicar no botão "Enable Editing", que ativa a macro maliciosa.
Após o primeiro ataque, os agentes de ameaças continuaram a tirar partido desta técnica de evasão para criar mais ataques, com picos de maio a julho de 2020[2].
"Macros "muito ocultas
As macros podem ser inseridas furtivamente e escondidas num ficheiro Excel utilizando estratégias de ofuscação.
Por exemplo, uma folha está definida como "Muito Oculta", o que significa que esta folha não está facilmente acessível através da IU do Excel e não pode ser revelada sem a ajuda de uma ferramenta externa. As macros ocultas na folha de Excel podem ser accionadas através de uma consulta Web ou podem descarregar malware após a execução de uma fórmula. Os agentes de ameaças aproveitam esta lacuna para entregar cargas maliciosas através de carregamentos de ficheiros ou anexos de correio eletrónico e explorar vulnerabilidades do sistema para criar novos vectores de ataque.
Esta tática, associada a estratagemas de engenharia social baseados no medo, foi aproveitada pelos atacantes para obter acesso remoto e executar comandos em dispositivos comprometidos. Em maio de 2020, a técnica foi tão abusada que a Microsoft teve de alertar o público para uma campanha de phishing sobre a COVID-19[3]. Os atacantes enviaram mensagens de correio eletrónico com o assunto "WHO COVID-19 SITUATION REPORT", fazendo-se passar pelo John Hopkins Center.
Os arquivos Excel anexados contêm uma macro maliciosa oculta que baixa e executa o NetSupport Manager RAT - uma ferramenta de administração que permite obter acesso remoto.
Proteger contra carregamentos maliciosos de ficheiros
Migrar para VBA
Consciente destas explorações, a Microsoft tem vindo a encorajar os utilizadores a mudar para o Visual Basic for Applications (VBA)[4]. A Interface de Análise Antimalware (AMSI) emparelhada com o VBA pode fornecer uma análise profunda dos comportamentos das macros no VBA, permitindo ao sistema analisar macros suspeitas e outras actividades maliciosas em tempo de execução.
Integrar o AMSI com o Microsoft Office
A Microsoft também permite a integração da AMSI com o Office 365 para incluir a verificação em tempo de execução das macros do Excel 4.0 para ajudar a detetar e bloquear malware baseado em XLM.
Remova cargas úteis de macro e todo o malware com a tecnologia Deep CDR™
A nossa tecnologia de prevenção de ameaças assume que todos os ficheiros são maliciosos, depois limpa e reconstrói cada ficheiro, garantindo a usabilidade total com conteúdo seguro quando chega aos utilizadores. Saiba mais sobre como a tecnologia Deep CDR™ impede técnicas evasivas em ficheiros Excel e técnicas maldoc de stomping VBA.
Além disso, o OPSWAT permite que os utilizadores integrem várias tecnologias proprietárias para fornecer camadas extra de proteção contra malware. Um exemplo é o Multiscanning, que permite aos utilizadores analisar simultaneamente com mais de 30 motores anti-malware (utilizando IA/ML, assinaturas, heurística, etc.) para obter taxas de deteção próximas dos 100%. Compare isto com um único motor AV, que em média só consegue detetar 40%-80% dos vírus.
Saiba mais sobre a tecnologia Deep CDR™, Multiscanninge outras tecnologias; ou fale com um OPSWAT para descobrir a melhor solução de segurança para proteção contra ataques de dia zero e outras ameaças de malware evasivo avançado.
Referências
1 James Haughom, Stefano Ortolani. "Evolução da Armação Macro do Excel 4.0". Lastline. 2 de junho de 2020, https://www.lastline.com/labsb....
2 Baibhav Singh. "Evolução da armonização de macro do Excel 4.0 - Parte 2". VMware. 14 de outubro de 2020. https://blogs.vmware.com/netwo....
3 Phil Muncaster. "A Microsoft avisa sobre o "massivo" #COVID19 RAT". Revista Infosecurity. 21 de maio de 2020, https://www.infosecurity-magaz....
4 "XLM + AMSI: Nova defesa de tempo de execução contra malware de macro do Excel 4.0". Microsoft. 3 de março de 2021. XLM + AMSI: Nova defesa de tempo de execução contra malware de macro do Excel 4.0 | Blog de segurança da Microsoft.
