Resultado de imagem para Excel IQY

Hackers usam arquivos Excel IQY para enganar antivírus e baixar malware. De acordo com uma postagem no blog da Barkly, em vez de usar documentos do Word ou outros tipos de anexos comumente violados, novas campanhas de spam estão usando arquivos .IQY , arquivos de texto simples, que são abertos por padrão no Excel e usados ​​para baixar dados do Internet.

Os atacantes estão usando um tipo de arquivo enganosamente simples para contornar o antivírus e enganar os usuários e baixarem e executarem scripts mal-intencionados via Excel. Os pesquisadores identificaram uma nova série de campanhas de e-mail spam, adotando a nova abordagem usando arquivos .IQY . Os arquivos .IQY são arquivos de texto essencialmente simples e são abertos por padrão no Excel.

Basicamente, é como ter um navegador da Web embutido no Excel.

O que torna os arquivos .IQY perigosos é que eles carregam um poderoso utilitário em um formato de arquivo incrivelmente simples e legítimo que não dá muito trabalho aos antivírus. O especialista em Excel Jon Wittwer os descreve como “basicamente como ter um navegador embutido no Excel”. “Estes arquivos passam por todos os antivírus porque não têm conteúdo malicioso“, observa o pesquisador Derek Knight (@dvk01uk).

Essa abordagem pode ignorar o software antivírus e ser usada para instalar trojans de acesso remoto chamados FlawedAmmyy e incorporar o código-fonte vazado na internet do software de acesso remoto Ammyy Admin. Este RAT fornece aos atacantes acesso completo sobre as máquinas infectadas.

Barkly disse que entre os botnets que distribuem o RAT FlawedAmmyy via arquivos .IQY está o Necurs. Os pesquisadores disseram que isso foi inicialmente identificado por @dvk01uk, com a primeira onda de e-mails de spam utilizando arquivos .IQY enviada em 25 de maio deste ano. Uma onda subsequente menor foi detectada em 5 de junho. Uma terceira campanha do Necurs foi vista no dia 7 de junho.

Os e-mails usados ​​nessas campanhas realmente não tem nada o que escrever sobre elas. Eles são essencialmente o tipo padrão de mensagem de spam que esperamos receber. Ex: os e-mails da primeira campanha foram enviados com uma linha de assunto de “Fatura não paga [ID: XXXXXXX]” e “pareciam ser provenientes de alguém dentro da organização-alvo“, disseram os pesquisadores.

Quando esses arquivos são abertos, eles tentam extrair dados da URL incluída. Em seguida, o Excel tenta extrair dados dessa URL, que, nesse caso, é um script do PowerShell.

Felizmente, o Microsoft Office está configurado para bloquear conteúdo externo por padrão, portanto, quando o Excel for iniciado, os usuários receberão um aviso. Mas há sempre uma chance de a vítima permitir que a macro seja executada. Uma vez ativado, o arquivo .IQY está livre para baixar o script do PowerShell. Há outro prompt para ser respondido pela vítima, mas uma vez que a vítima permite isso, o ataque prossegue com uma série de downloads que finalmente lança o RAT FlawedAmmyy.

Niall Sheffield, engenheiro de soluções da SentinelOne, disse à SC Media UK que esses ataques são indicativos de novos métodos de ataque que os agentes maliciosos estariam usando para contornar as soluções de AV legadas. “Encontrar um tipo de arquivo comumente esquecido que o antivírus não será capaz de escanear ou interagir, explorá-lo para entregar uma carga útil baseada em memória e colher os resultados“, disse ele.

Fonte: SC Mzgazine UK e Blog Barkly