A macro Excel 4.0, também conhecida como macro XLM 4.0, é uma caraterística benigna de gravação e reprodução do Microsoft Excel que foi introduzida em 1992. Esta peça de código de programação é uma solução para automatizar tarefas repetitivas no Excel, mas, infelizmente, também é uma porta traseira secreta para a entrega de malware.
Tal como a sua antecessora, a macro VBA (Visual Basic for Application), a macro do Excel 4.0 está a ser cada vez mais explorada para armazenar malware oculto. Os agentes de ameaças podem facilmente utilizar esta funcionalidade com 30 anos para criar novas técnicas de ataque, uma vez que podem ofuscar o código XML para ocultar as macros suspeitas.
O que torna este vetor de ataque tão difundido é o facto de as macros do Excel 4.0 serem um componente de fórmula essencial da capacidade principal do Excel. São utilizadas regularmente em vários processos empresariais e é pouco provável que sejam desactivadas ou obsoletas. Por este motivo, os autores de malware introduzem frequentemente um payload malicioso através do código da macro num documento Excel e enviam-no como anexo de correio eletrónico, como aconteceu no primeiro incidente com a macro 4.0.
O Primeiro Ataque de Macro do Excel 4.0
Desde a primeira vaga de ataques de macro 4.0, em meados de fevereiro de 2020[1], um grande número de cibercriminosos cooptou esta técnica. Envolve uma folha infetada com um comando malicioso escondido numa fórmula, enviada como parte de um ficheiro Excel anexado.
Os atacantes usam tácticas de engenharia social para atrair o alvo a abrir o ficheiro. Após a abertura, a vítima é convidada a clicar no botão "Enable Editing", que ativa a macro maliciosa.
Após o primeiro ataque, os agentes de ameaças continuaram a tirar partido desta técnica de evasão para criar mais ataques, com picos de maio a julho de 2020[2].
"Macros "muito ocultas
As macros podem ser inseridas furtivamente e escondidas num ficheiro Excel utilizando estratégias de ofuscação.
Por exemplo, uma folha está definida como "Muito Oculta", o que significa que esta folha não está facilmente acessível através da IU do Excel e não pode ser revelada sem a ajuda de uma ferramenta externa. As macros ocultas na folha de Excel podem ser accionadas através de uma consulta Web ou podem descarregar malware após a execução de uma fórmula. Os agentes de ameaças aproveitam esta lacuna para entregar cargas maliciosas através de carregamentos de ficheiros ou anexos de correio eletrónico e explorar vulnerabilidades do sistema para criar novos vectores de ataque.
Esta tática, associada a estratagemas de engenharia social baseados no medo, foi aproveitada pelos atacantes para obter acesso remoto e executar comandos em dispositivos comprometidos. Em maio de 2020, a técnica foi tão abusada que a Microsoft teve de alertar o público para uma campanha de phishing sobre a COVID-19[3]. Os atacantes enviaram mensagens de correio eletrónico com o assunto "WHO COVID-19 SITUATION REPORT", fazendo-se passar pelo John Hopkins Center.
Os arquivos Excel anexados contêm uma macro maliciosa oculta que baixa e executa o NetSupport Manager RAT - uma ferramenta de administração que permite obter acesso remoto.
Proteger contra carregamentos maliciosos de ficheiros
Migrar para VBA
Consciente destas explorações, a Microsoft tem vindo a encorajar os utilizadores a mudar para o Visual Basic for Applications (VBA)[4]. A Interface de Análise Antimalware (AMSI) emparelhada com o VBA pode fornecer uma análise profunda dos comportamentos das macros no VBA, permitindo ao sistema analisar macros suspeitas e outras actividades maliciosas em tempo de execução.
Integrar o AMSI com o Microsoft Office
A Microsoft também permite a integração da AMSI com o Office 365 para incluir a verificação em tempo de execução das macros do Excel 4.0 para ajudar a detetar e bloquear malware baseado em XLM.
Remover Macro Payloads e todo o malware com Deep CDR
A nossa tecnologia de prevenção de ameaças parte do princípio de que todos os ficheiros são maliciosos e, em seguida, higieniza e reconstrói cada ficheiro, assegurando a total usabilidade com conteúdo seguro no momento em que este chega aos utilizadores. Saiba mais sobre como Deep CDR impede técnicas evasivas em ficheiros Excel e técnicas VBA de maldoc stomping.
Além disso, o OPSWAT permite que os utilizadores integrem várias tecnologias proprietárias para fornecer camadas extra de proteção contra malware. Um exemplo é o Multiscanning, que permite aos utilizadores analisar simultaneamente com mais de 30 motores anti-malware (utilizando IA/ML, assinaturas, heurística, etc.) para obter taxas de deteção próximas dos 100%. Compare isto com um único motor AV, que em média só consegue detetar 40%-80% dos vírus.
Saiba mais sobre Deep CDR, Multiscanning, e outras tecnologias; ou fale com um especialista em OPSWAT para descobrir a melhor solução de segurança para proteção contra ataques de dia zero e outras ameaças de malware evasivo avançado.
Referências
1 James Haughom, Stefano Ortolani. "Evolução da Armação Macro do Excel 4.0". Lastline. 2 de junho de 2020, https://www.lastline.com/labsb....
2 Baibhav Singh. "Evolução da armonização de macro do Excel 4.0 - Parte 2". VMware. 14 de outubro de 2020. https://blogs.vmware.com/netwo....
3 Phil Muncaster. "A Microsoft avisa sobre o "massivo" #COVID19 RAT". Revista Infosecurity. 21 de maio de 2020, https://www.infosecurity-magaz....
4 "XLM + AMSI: Nova defesa de tempo de execução contra malware de macro do Excel 4.0". Microsoft. 3 de março de 2021. XLM + AMSI: Nova defesa de tempo de execução contra malware de macro do Excel 4.0 | Blog de segurança da Microsoft.
