Malspam con archivos adjuntos IQY omite filtros de AV e instala RAT

Las campañas de Malspam, como las que distribuye Necurs, están utilizando un nuevo tipo de archivo adjunto que está haciendo un buen trabajo al eludir los filtros antivirus y de correo

Estos archivos adjuntos de IQY se denominan archivos de Excel Web Query y cuando se abren intentan extraer datos de fuentes externas.

El problema es que los datos externos que se importan en la hoja de cálculo también pueden ser una fórmula que Excel ejecutará. Estas fórmulas se pueden usar para lanzar localmente scripts de PowerShell que descargan e instalan malware en la computadora, lo cual se explica más adelante en el artículo.

Se detectaron tres campañas de mensajes maliciosos utilizando archivos adjuntos IQY

Según un informe de Barkly, ha habido tres campañas de spam que utilizan archivos adjuntos IQY. El primero fue descubierto el 25 de mayo por MyOnlineSecurity, donde informó lo bien que estaban pasando por alto los filtros AV. Una segunda campaña fue descubierta por el investigador de seguridad Magni R. Sigurdsson , y una nueva campaña fue descubierta nuevamente por MyOnlineSecurity.

Los correos electrónicos no deseados simulan ser órdenes de compra, documentos escaneados o facturas sin pagar que contienen archivos adjuntos IQY como se muestra a continuación.

Cuando se abren los archivos IQY, se conectan a un sitio remoto que ejecuta comandos de PowerShell que finalmente descargan e instalan una versión preconfigurada de AMMYY Admin. AMMYY Admin es una herramienta legítima de administración remota que los atacantes utilizan para obtener acceso remoto a la computadora de la víctima.

Los archivos IQY son simplemente archivos de texto que contienen algunas líneas de texto que consisten en el tipo de fuente, la ubicación de origen, varios parámetros que se utilizarán durante la consulta, intervalos de actualización, etc. El problema es que los datos devueltos desde la fuente externa también pueden contienen fórmulas de Excel que inician aplicaciones en la computadora.

Por ejemplo, para crear un archivo IQY simple que abra el archivo C:\Windows\System32\calc.exe, crearía un archivo llamado test.iqy en el Bloc de notas

Cuando un usuario abre el archivo adjunto, Excel consultará la URL remota listada en el archivo IQY para recuperar los datos que se importarán en la hoja de cálculo. En nuestro ejemplo, el archivo test.txt contiene una fórmula que se importará a Excel y luego se ejecutará. =cmd|' /c C:\Windows\System32\calc.exe'!A0

En este caso, la fórmula inicia del programa Calc.exe en la computadora.

Las campañas de malspam utilizan exactamente el mismo método, pero en lugar de iniciar Calculator, están lanzando comandos de PowerShell que descargan y ejecutan scripts que finalmente instalan y ejecutan malware en la computadora.

La buena noticia es que Excel proporciona muchas advertencias cuando un usuario abre un archivo IQY que "debería" indicar que algo no está bien. Desafortunadamente, las personas tienden a ignorar las advertencias y, por lo tanto, se infectan.

Es por eso que es importante comprender lo que vería cuando abra un documento IQY malicioso y no solo haga clic en los botones Habilitar.

Cuando se abre por primera vez un archivo IQY, se le presentará al usuario un "Aviso de seguridad de Microsoft Excel" que advierte al usuario que se está realizando una conexión de datos externa.

Esta es la primera advertencia de que algo no está bien y los usuarios deben hacer clic en el botón "Deshabilitar" para que la conexión no se realice.

Si, por el contrario, hace clic en el botón "Habilitar" , eventualmente se le presentará otra advertencia de que "Excel necesita iniciar otra aplicación". Una vez más, no lo permita y haga clic en el botón " No ".

Si también ignoras esta advertencia, es demasiado tarde y tu computadora ha sido infectada con algún tipo de malware.

Por lo tanto, sé inteligente. No permita que Excel inicie otras aplicaciones o cree conexiones externas o lo lamentará.

Semrush sigue a tu competencia


Fecha actualización el 2018-06-08. Fecha publicación el 2018-06-08. Categoria: malware. Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer
Malspam con archivos adjuntos