SOS :: Security Operation Space
17 октября, среда, 00:00
|
Hot News:

Вспомогательные файлы Excel открыли дорогу RAT-троянам

13 июня 2018 г., среда, 17:21

Три спам-кампании были нацелены на кражу данных и смогли обойти антивирусную защиту, используя вложения в формате .iqy.

Один из крупнейших ботнетов Necrus стал источником нескольких волн вредоносного спама. Рассылаемые письма содержали файл для Microsoft Exсel, при открытии которого на компьютеры жертв скачивался RAT-троян FlawedAmmyy. Вредоносная программа способна перехватывать управление устройством, открыть доступ ко всем сохраненным данным или включить передачу аудио.

Аналитики Barkly зарегистрировали в общей сложности три кампании: одну в конце мая и две в начале июня. Вместо типичных для данного типа атак документов Word или PDF киберпреступники вкладывали в письма .iqy-файлы. Этот крайне простой формат ассоциируется с приложением Microsoft Excel и позволяет загрузить в ячейку книги любую команду, тем самым открывая множество возможностей для злоупотреблений. По словам ИБ-эксперта Джона Виттвера (Jon Wittwer), “это все равно что встроить в таблицу собственный веб-браузер”.

Если открыть файл .iqy не в Excel, а в блокноте, вы увидите лишь несколько строк и ссылку на ресурс, с которого Excel попытается загрузить данные.

Изображение с сайта https://pbs.twimg.com

На сайте преступников находились команды PowerShell, которые загружали RAT-троян FlawedAmmyy. Зловред известен с 2016 года и использовался как для целевых нападений, так и для широкомасштабных ненаправленных атак — последние зачастую были связаны с деятельностью злоумышленника под ником TA505.

Оформление писем соответствовало стандартному для спама шаблону: преступники усыпляли внимание получателя, используя в качестве адреса корпоративный домен жертвы, в заголовке значилось “Просроченный платеж”, а само письмо не содержало ничего, кроме одного вложения, которое компьютер отображал как файл Excel.

При клике на него действительно начинал загружаться документ Excel, однако Microsoft Office предупреждал пользователя о том, что приложение пытается извлечь данные из непроверенного источника. Если пользователь все же разрешал загрузку данных, появлялось второе предупреждение — на сей раз о том, что Excel пытается запустить стороннее приложение. Игнорирование и этого предупреждения приводило к установке трояна.

Поскольку в качестве вложений злоумышленники использовали очень простые файлы веб-запросов, не вызывающие подозрений у антивирусов, кампании едва не прошли незамеченными. По данным VirusTotal, до 5 июня включительно вредоносный спам не был замечен ни одним средством защиты; днем позже количество обнаружений выросло до 5, а сейчас опасность видят 20 из 58 решений.

Эксперты уже давно предупреждают об опасности включений в Excel веб-запросов. В 2015 году исследователи Кейси Смит (Casey Smith) и Никхил Миттал (Nikhil Mittal) предположили, что .iqy-файлы легко приспособить к фишингу, так как для их создания достаточно обычного блокнота, а Excel есть практически на любом компьютере. Однако недавняя серия атак стала первым криминальным использованием .iqy-файлов в дикой природе.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
16:46
16:15
16:12
15:15
14:15
13:15
11:49
11:15
10:15
08:15
08:15
08:15
07:15
06:18
06:15
05:47
15:15
15:15


© 2013—2018 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.121
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.