Вредоносные Excel-файлы обходят антивирусы с помощью .NET-библиотеки

Вредоносные Excel-файлы обходят антивирусы с помощью .NET-библиотеки

Вредоносные Excel-файлы обходят антивирусы с помощью .NET-библиотеки

Киберпреступная группировка использует хитрую тактику для обхода антивирусных сканеров с помощью вредоносных таблиц в формате Excel. В своих атаках злоумышленники прибегают к помощи .NET-библиотеки.

На активность группы обратили внимание специалисты компании NVISO Labs, они же присвоили ей имя — Epic Manchego. Это относительно новая группировка, действующая с июня.

Под прицелом злоумышленников находятся компании по всему миру, которым направляются специальные фишинговые письма с вложенной вредоносной таблицей.

Казалось бы, на первый взгляд ничего необычного — таких атак тысячи. Однако команда NVISO отметила особенность вложенных Excel-документов, которым удавалось обходить антивирусные проверки.

Дело в том, что операторы Epic Manchego задействовали .NET-библиотеку под названием EPPlus, с помощью которой компилировали таблицы. Как правило, разработчики используют эту библиотеку в своих приложениях, чтобы добавить функции вроде «Сохранить как таблицу» или «Экспортировать в Excel».

EPPlus можно использовать для создания файлов в различных форматах таблиц. Поддерживается даже Excel 2019. Именно этим и пользуются киберпреступники — сохраняют свои вредоносные документы в формате Office Open XML (OOXML). Этот подход отличается тем, что у таких сгенерированных таблиц отсутствует секция со скомпилированным VBA-кодом.

Как известно, антивирусные программы ищут признаки вредоносного содержимого как раз в VBA-коде. В этом случае логично объясняется низкий процент детектирования вложенных в фишинговые письма Excel-файлов.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Android-троян Herodotus научился печатать как человек, обходит антифрод

Эксперты по кибербезопасности сообщили о новом Android-трояне под названием Herodotus, который уже используется в атаках на пользователей смартфонов. Главная цель — полный захват устройства и кража данных с банковских приложений. Основная особенность — умение имитировать человеческий ввод при наборе текста.

По данным ThreatFabric, Herodotus — это свежий представитель семейства банковских зловредов, появившийся на подпольных форумах 7 сентября 2025 года.

Его распространяют по модели «вредонос как услуга» (MaaS), то есть любой желающий может арендовать троян для собственных атак.

Несмотря на то что Herodotus не является прямым потомком другого известного банковского зловреда Brokewell, у них есть много общего — вплоть до одинаковых методов сокрытия кода и даже упоминаний «BRKWL_JAVA» внутри самого Herodotus.

 

Как и большинство современных Android-вредоносов, Herodotus активно использует специальные возможности ОС (Accessibility Services). Он распространяется через фейковые приложения под видом Google Chrome (пакет com.cd3.app), которые жертве подсовывают через СМС-фишинг (смишинг) или другие схемы социальной инженерии.

После установки троян получает доступ к экрану устройства, показывает поддельные формы входа в банковские приложения, перехватывает СМС с кодами 2FA, видит всё, что отображается на дисплее, может узнать ПИН-код или графический ключ и даже устанавливать другие APK-файлы удалённо.

Но главное отличие Herodotus — умение притворяться человеком. Вредонос выполняет действия со случайными задержками между 0,3 и 3 секундами, например при вводе текста, чтобы обмануть антифрод-системы, анализирующие скорость и ритм нажатий. Так злоумышленники создают иллюзию, будто с устройством работает реальный пользователь, а не бот.

ThreatFabric также сообщила, что обнаружены фальшивые страницы-оверлеи, созданные для банков и финорганизаций в США, Турции, Великобритании и Польше, а также для криптовалютных кошельков и бирж. Похоже, создатели Herodotus уже готовятся расширять географию атак.

Исследователи подытожили:

«Herodotus активно развивается, использует приёмы, известные по Brokewell, и создан, чтобы закрепиться в активных сессиях пользователей, а не просто красть логины и пароли».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru