Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Три спам-кампании были нацелены на кражу данных и смогли обойти антивирусную защиту, используя вложения в формате .iqy.
Один из крупнейших ботнетов Necrus стал источником нескольких волн вредоносного спама. Рассылаемые письма содержали файл для Microsoft Exсel, при открытии которого на компьютеры жертв скачивался RAT-троян FlawedAmmyy. Вредоносная программа способна перехватывать управление устройством, открыть доступ ко всем сохраненным данным или включить передачу аудио.
Аналитики Barkly зарегистрировали в общей сложности три кампании: одну в конце мая и две в начале июня. Вместо типичных для данного типа атак документов Word или PDF киберпреступники вкладывали в письма .iqy-файлы. Этот крайне простой формат ассоциируется с приложением Microsoft Excel и позволяет загрузить в ячейку книги любую команду, тем самым открывая множество возможностей для злоупотреблений. По словам ИБ-эксперта Джона Виттвера (Jon Wittwer), “это все равно что встроить в таблицу собственный веб-браузер”.
Если открыть файл .iqy не в Excel, а в блокноте, вы увидите лишь несколько строк и ссылку на ресурс, с которого Excel попытается загрузить данные.
На сайте преступников находились команды PowerShell, которые загружали RAT-троян FlawedAmmyy. Зловред известен с 2016 года и использовался как для целевых нападений, так и для широкомасштабных ненаправленных атак — последние зачастую были связаны с деятельностью злоумышленника под ником TA505.
Оформление писем соответствовало стандартному для спама шаблону: преступники усыпляли внимание получателя, используя в качестве адреса корпоративный домен жертвы, в заголовке значилось “Просроченный платеж”, а само письмо не содержало ничего, кроме одного вложения, которое компьютер отображал как файл Excel.
При клике на него действительно начинал загружаться документ Excel, однако Microsoft Office предупреждал пользователя о том, что приложение пытается извлечь данные из непроверенного источника. Если пользователь все же разрешал загрузку данных, появлялось второе предупреждение — на сей раз о том, что Excel пытается запустить стороннее приложение. Игнорирование и этого предупреждения приводило к установке трояна.
Поскольку в качестве вложений злоумышленники использовали очень простые файлы веб-запросов, не вызывающие подозрений у антивирусов, кампании едва не прошли незамеченными. По данным VirusTotal, до 5 июня включительно вредоносный спам не был замечен ни одним средством защиты; днем позже количество обнаружений выросло до 5, а сейчас опасность видят 20 из 58 решений.
Эксперты уже давно предупреждают об опасности включений в Excel веб-запросов. В 2015 году исследователи Кейси Смит (Casey Smith) и Никхил Миттал (Nikhil Mittal) предположили, что .iqy-файлы легко приспособить к фишингу, так как для их создания достаточно обычного блокнота, а Excel есть практически на любом компьютере. Однако недавняя серия атак стала первым криминальным использованием .iqy-файлов в дикой природе.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |