Новый SILENT Excel 0 day

[NoScriptExp]

Представляю новый SILENT Excel 0 day дропер

Скачивает и запускает ваш .exe
Работает на всех Windows (7-10, включая серверные) и на всех Офисах (2010,2013,2016,2019/365).
Может не запуститься на какой-то сборке, но обычно работает.
Единственное, для 32bit OFFICE и для 64bit OFFICE нужны разные билды. Но у большинства стоит 32bit Office даже на Windows 64 bit.
Обходит последний WindowsDefender и Smartscreen

МОЖНО пересылать по почте как вложение (gmail не пускает, но через google drive работает - см. демо ниже).
Формат файла .xll - его проводник отображает как файл Excel и иконка соответствующая.
Chrome при скачивании файла МОЛЧИТ как с обычным .xls

Демо видео под спойлером (работа с Chrome, Gmail):
Если под спойлером не работает, то вот линк
https://streamable.com/5d1tbz

Спойлер: Demo Video

По состоянию на 12.05.2021:
Avcheck 2/26 - kis, zonealarm

This Website Has Been Seized

Dyncheck 4/23 - BullGuard, DrWeb, Kaspersky, Sophos

Report #e6bcd5c39695720f9b31e9ff10b6f934 | Dyncheck.com

dyncheck.com

Цена за билд 1,2k$
Если 2 билда (32bit + 64bit) то 1,5k$
Билд требует подписи (достаточно OV). Если сертификат ваш, то скидка 200$
Постоянным клиентам скидка.

На соседнем форуме есть депозит, работа через гаранта за ваш счет.

ТОЛЬКО жабер
noscript@jabb.im
Подтверждайте сделку в личке для избежания фейков

 

[pr3torian]

were is the video?

 

[NoScriptExp]

were is the video?

Here it is
https://streamable.com/5d1tbz
And I fixed spoiler too.

 

[diletant]

покажи работу подписанного файла.

 

[NoScriptExp]

покажи работу подписанного файла.

На видео под спойлером как раз работа подписанного файла.
Там всплывающее окошко говорит что подпись проверена и Хром при скачивании молчит.

 

[marc]

Скинь линки на свои темы и отзывы на других форумах.

 

[NoScriptExp]

Скинь линки на свои темы и отзывы на других форумах.

Написал в личку

 

[FASTPRISONER]

Скинь и мне в ПМ линки на свои темы и отзывы на других форумах, заинтересован в твоем продукте

 

[ProfessorAdver]

Is there mention of this vulnerability on MS recent patches? Because remember seeing one.

 

[NoScriptExp]

Скинь и мне в ПМ линки на свои темы и отзывы на других форумах, заинтересован в твоем продукте

Линк сбросил в личку. Там же есть и депозит. Если актуально - тучись в жабер.

 

[NoScriptExp]

Is there mention of this vulnerability on MS recent patches? Because remember seeing one.

It is not patched yet and can be fully used.

 

[NoScriptExp]

Вот свежий dyncheck с включенным интернетом и временем чека 3 минуты.
3/21 (Kaspersky, DrWeb (firewall), Comodo)

Report #1f0a0388288d2cd52aedc117b03627e3 | Dyncheck.com

dyncheck.com

Чекал через SFX архив, который распаковывает .xll и запускает его командой "excel.exe demo.xll" иначе dyncheck не хочет запускать .xll файлы.
Там детект Dr.Web - это его Firewall не пустил к серверу putty (IP 93.93.131.124 = the.earth.li).
Каспер - реально детект, пока что не почистил.
Comodo - непонятно что там. Может он так на sfx отреагировал.

Если сканировать .xll без sfx то картина выглядит так (Kaspersky):
https://dyncheck.com/scan/id/b604cbea2dc91ff6191eaf21dbfe0414

Avcheck выглядит так (Kaspersky, Zonealarm):
https://avcheck.net/id/1BzC0TTk4e19

====================

Here are results of DynCheck with Internet ON and checking time 3 minutes:

3/21 (Kaspersky, DrWeb (firewall), Comodo)
https://dyncheck.com/scan/id/1f0a0388288d2cd52aedc117b03627e3
I sent for check in SFX archive with code that extracts .xll to desktop and executes "excel.exe demo.xll". Other wise DynCheck does not perform correct check of .xll files.

Dr.Web is not a detect. It is firewall blocked access to putty host. (Ip 93.93.131.124 = the.earth.li).
Kaspersky - there is an issue which I can't resolve yet.
Comodo - IDK what is the issue on DynCheck. Probably it is a reaction on SFX archive.

Here is check of .xll without SFX (Kaspersky):
https://dyncheck.com/scan/id/b604cbea2dc91ff6191eaf21dbfe0414

Here is Avcheck (Kaspersky, Zonealarm):
https://avcheck.net/id/1BzC0TTk4e19

 

[dream1]

this is funny i can make this build for everyone free whenever i have the space

 

[NoScriptExp]

Способ всё ещё актуален.
Есть возможность запускать .dll или любой другой формат файла.
Также, можно пользователю открыть .xls или любой другой документ/файл/сайт.

Свежие DynCheck
.xll 32bit
2/23 (BitDefender, KIS)
https://dyncheck.com/scan/id/112a6c86646afa65795d99e85ec4cc41

.xll 64bit
5/23 (AhnLab, Avira, BullGuard, KIS, Malwarebytes)
https://dyncheck.com/scan/id/85f93f5af35933f1117cba46623798b9

 

[ColorS]

о господе успокойся ты уже со своими 0day silent нельзя назвать XLL надстройка это ввод в заблуждение

 

[edie]

Why have detections on a 0 day exploit?

 

[everytime]

о господе успокойся ты уже со своими 0day silent нельзя назвать XLL надстройка это ввод в заблуждение

?

 

[zverovod]

Скинь линки на свои темы и отзывы на других форумах.

мне тоже в пм, интересует

 

[Quake3]

ТС уехал в статус на экспе.
эксплоит/topic/193809/