Nu tænker du måske hov CSV filer er uskadelige? Well tænk igen, for de kan være lige så skadelige som en EXE fil, hvis de hentes ind i EXCEL. Det har vi vist altid, men de fleste normale brugere kender ikke denne risiko.
En ny phishing-kampagne har set dagens lys. Den bruger specielt udformede CSV-tekstfiler til at inficere brugernes enheder med BazarBackdoor malware.
En CSV-fil (Semikolonseparerede værdier) er en tekstfil, der indeholder tekstlinjer med kolonner med data adskilt af kommaer. I mange tilfælde er den første tekstlinje overskriften eller beskrivelsen for hver kolonne.
For eksempel er en meget grundlæggende CSV-tekstfil, der indeholder hovedstæderne i nogle amerikanske stater, illustreret nedenfor. Bemærk, hvordan kommaer adskiller hver kolonne med data. Her er et eksempel.
Maskulin, Feminin
Mand, Kvinde
Adam, Eva
Jesus, Maria
Kong Christian, Dronning Ingrid
Tænkeren, Den Lille Havfrue
Blå, Rød
Bukser, Kjole
Bentley, Fiat500
Sort, Lyserød
Som du kan se ovenfor, indeholder filen intet andet end tekst, men når de indlæses i Excel, præsenteres dataene med hver linje i sin egen række og dataene adskilt af kommaerne i kolonner med data.
Brug af CSV er en populær metode til at eksportere data fra programmer, der derefter kan importeres til andre programmer som datakilde, uanset om det er Excel, en database, adgangskodeadministratorer eller faktureringssoftware.
Da en CSV simpelthen er tekst UDEN eksekverbar kode, betragter mange mennesker disse typer filer harmløse og kan være mere ubekymrede, når de åbnes.
Microsoft Excel understøtter dog en funktion kaldet DDE (Dynamic Data Exchange), som kan bruges til at udføre kommandoer, hvis output er indtastet i det åbne regneark, herunder CSV-filer.
Desværre, kan trussels aktører også misbruge denne funktion til at udføre kommandoer, der downloader og installerer malware eller ransomware på intetanende ofre.
CSV-fil bruger DDE til at installere BazarBackdoor
Denne kampagne er fundet af sikkerhed forskereb Chris Campbell.
Det der sker er at den installerer BazarLoader / BazarBackdoor trojan gennem ondsindede CSV-filer.
BazarBackdoor er en bagdørs mailware skabt af TRICKBOT gruppen, sidste sommer. Den giver trusselaktører fjernadgang til en intern enhed, der kan bruges som et springbræt til yderligere at mutere inden for et netværk eller parallelt indenfor mange virituelle servere der benytter virtuelle servere f.eks. VMWARE.
De mailoverskrifter der udsendes er “Payment Remittance Advice” med links til forskellige eksterne websteder, der downloader en CSV-fil med navne svarende til ‘document-21966.csv.’
Som alle CSV-filer er dokumentet-21966.csv-filen bare en tekstfil med kolonner med data adskilt af kommaer, som det ses nedenfor.
Den kloge læser vil dog bemærke, at en af datakolonnerne indeholder et mærkeligt WMIC-opkald i en af kolonnerne med data, der starter en PowerShell-kommando.
Dette =WmiC|
er en DDE-funktion, der får Microsoft Excel til, hvis det gives tilladelse, at starte WMIC . EXE og udføre den angivne PowerShell-kommando for at indtaste data i den åbne projektmappe.
I dette særlige tilfælde bruger DDE WMIC til at oprette en ny PowerShell-proces, der åbner en fjern-URL-adresse, der indeholder en anden PowerShell-kommando, der derefter udføres.
Den eksterne PowerShell-scriptkommando, der vises nedenfor, henter et billede.jpg fil og gemmer det som C:BrugerePublic87764675478.dll. Dette DLL-program udføres derefter ved hjælp af kommandoen rundll32.exe.
DLL-filen installerer BazarLoader og installerer i sidste ende BazarBackdoor og andre malware programmer på enheden.
Heldigvis, når denne CSV-fil åbnes i Excel, vil programmet få øje på DDE-opkaldet og bede brugeren om at “aktivere automatisk opdatering af links”, som er markeret som et sikkerhedsmæssige problem.
Selvom de aktiverer funktionen, viser Excel dem en anden prompt, der bekræfter, om WMIC skal have lov til at begynde at få adgang til fjerndataene.
Hvis brugeren bekræfter begge prompter, starter Microsoft Excel PowerShell-scripts, DLL’en hentes og udføres, og BazarBackdoor installeres på enheden.
Mens denne trussel kræver brugere til at bekræfte, at DDE-funktionen bør have lov til at udføre, men flere sikkerhedsforskere fortæller om at folk falder for disse tricks og det er vel også derfor at Phishing er så populært.
“Baseret på vores synlighed i BazarBackdoor telemetri, har vi observeret 102 faktiske ikke-sandkasse corporate og offentlige ofre i løbet af de sidste to dage fra denne phishing-kampagne,” siger Kremez.
Når BazarBackdoor er installeret, det vil give truslen aktører adgang til virksomhedens netværk, som angrebene vil forsøge at sprede sig sideværts i hele netværket.
I sidste ende, Dette kan føre til yderligere malware infektioner, tyveri af data, og indsættelsen af ransomware.
Kilder: Ovenstående samt BleepingComputer