Security Lab

VBA Stomping

техника запуска VBA-макросов в документах Office. Суть техники заключается в удалении/модификации (или заполнении нулями) исходного VBA-кода в теле офисного документа, оставляя нетронутым скомпилированный код макроса, называемый p-кодом. VBA-код и его скомпилированная версия располагаются внутри файла vbaProject.bin, находящегося в zip-архиве (файл с расширением .docm, .xslm). Таким образом, техника сводится к удалению/заполнению нулями части файла vbaProject.bin.

В результате документ не вызывает подозрений у антивирусов, анализирующих макрос только по его исходному коду. Также данная техника позволяет затруднить анализ файла, поскольку ни один инструмент, не прибегая к декомпиляции, не сможет извлечь исходный код VBA, который также не будет отображаться в редакторе макросов Office до его разрешения.

Orcinius: не открывайте этот Excel-файл, если цените свою приватность

Новая злонамеренная стратегия использует Google Docs и Dropbox для атаки.

APT-группа Evilnum возвращается с новой атакой на миграционные компании

Европейские организации стали жертвами хитрой вредоносной кампании

VBA Stomping