網絡犯罪分子不再使用Microsoft Excel作為將惡意軟件潛入潛在受害者PC的方法。

安全供應商Hornetsecurity表示，其研究人員在7月份記錄了依靠惡意Excel文檔的載有惡意軟件的電子郵件的數量顯著下降。該公司的月度電子郵件威脅報告指出，從6月到7月底，Excel攻擊下降了近10個百分點。

Hornetsecurity團隊認為，這主要是由于微軟做出了一項關鍵決定，即禁用宏代碼執行，長期以來，惡意軟件操作員濫用宏代碼來劫持打開文檔文件的機器。

Hornetsecurity在其報告中說：“攻擊中使用的Excel文檔從14.4%下降到5.1%，這可歸因于攻擊者改變策略，因為微軟采取了默認禁用Excel 4.0宏的措施。”

該報告中寫道：“通過惡意Excel 4.0宏分發的主要惡意軟件是QakBot和Emotet，QakBot切換到使用HTML挾帶和DLL側載的復雜感染鏈，我們將在本報告的后面部分重點介紹?！?

在Excel宏默認關閉的情況下，研究人員發現很多較大的惡意軟件組不得不尋找其他方法來使用更復雜的方法感染機器。上面提到的Qakbot就是一個極端的例子。

Hornetsecurity團隊發現，Qakbot攻擊者選擇構建這樣的機制，其中附加的HTML文檔顯示為Adobe PDF文檔，并提示受害者以閱讀器軟件為幌子下載zip文件。

然后，該有效負載會自動啟動，并安裝用于側載攻擊和最終安裝Qakbot惡意軟件本身的DLL文件。 雖然惡意軟件運營者改變網絡釣魚攻擊的技術和策略并不罕見，但研究人員指出，作為對微軟新安全政策的回應，Qakbot的轉變尤為迅猛。

Hornetsecurity公司首席執行官Daniel Hofmann稱：“代碼挾帶方法在逃避檢測方面很有效，并且允許Qakbot感染大量受害者。但是，這種方法需要Qakbot繼續更新其逃避技術以保持領先于檢測。我們可能會看到交付方式的細微變化，例如，代碼可能會使用HTML以外的其他文件類型進行挾帶。”

盡管新的安全措施對Excel攻擊的數量產生了短期影響，但Hofmann表示，在可預見的未來，電子表格應用程序可能仍然是通過網絡釣魚和社會工程攻擊傳播惡意軟件的流行方法。

Hofmann說：“雖然網絡釣魚電子郵件附帶的Excel文檔數量減少，但Hornetsecurity仍然觀察到Excel文檔具有危險性，攻擊者只是改變了他們如何傳遞惡意Excel文檔的策略?！?/p>