近期，NVISO Labs的安全研究人员发现一个新型恶意软件团伙利用一个新技术生成Excel文件，无需使用Microsoft Office即可创建包含大量宏的Excel工作簿，这些恶意Excel文件比较难被检测到，可绕过系统的安全检测。

该恶意组织团伙名为“Epic Manchego”，自6月起，一直有所动作，主要活动是在世界范围内，向企业发送带有恶意Excel的网络钓鱼邮件。

这些Excel文件暗藏“猫腻”，不是人们使用的常规的表格文件，它们可绕过安全扫描程序，检测率较低。

恶意表格文件由EPPlus编译

这些恶意Excel文件也是“出身不凡”，它们并不是在常规的Microsoft Office软件中编译的，而是在带有EPPlus的.NET库中编译的。开发人员会使用该库来添加“导出为Excel”或“另存为电子表格”的功能，简单来说，可用来生成多种电子表格格式的文件，甚至支持Excel 2019。

“当我们注意到恶意文件没有经过编译的代码，并且也缺少Office元数据时，我们很快想到了EPPlus。该库还将创建OOXML文件，而无需编译VBA代码和Office元数据。”安全研究团队在报告中写到。

Epic Manchego利用该库中的EPPlus来生成Office Open XML(OOXML)格式的电子表格文件。Epic Manchego生成的OOXML电子表格文件缺少一部分已编译的VBA代码，该代码专门用于在Microsoft专有Office软件中编译的Excel文档。

OOXML文件格式是一种开放包装约定(OPC)格式：一种ZIP容器，主要包含XML文件，可能还包含二进制文件。它最初是由Microsoft在Office 2007发行版中引入的。OOXML电子表格使用扩展名.xlsx和.xlsm(用于带有宏的电子表格)。

使用EPPlus创建VBA项目时，它不包含已编译的VBA代码。EPPlus没有创建编译代码的方法：创建编译VBA代码的算法是Microsoft专有的。

杀毒软件则是通过查找VBA代码这一部分来实现恶意Excel文件检测功能，由此可以解释为什么Epic Manchego生成的恶意Excel文件检测率低于其他恶意Excel文件了。

已编译的VBA代码可以存储攻击者的恶意代码。比如Epic Manchego以自定义VBA代码格式存储了他们的恶意代码，该格式也受到密码保护，以防止安全系统和研究人员分析其内容。