Flawed Ammyy RAT e Malspam Excel-based Internet Query (.iqy) file
Allegati .IQY utilizzati per eludere le protezioni AV e scaricare malware: Flawed Ammyy RAT e Malspam, Excel-based Internet Query (.iqy) file
Dal monitoraggio delle fonti, in particolare nel corso degli ultimi due mesi da parte del CERT-PA, emerge che sono state lanciate campagne di malspam volte a veicolare malware di tipo RAT (Remote Access Trojan) tramite messaggi di posta elettronica contenenti allegati con estensione .iqy ingannando gli utenti a scaricare ed eseguire script dannosi via Excel.
Anziché utilizzare i documenti Office, o altre comuni estensioni, queste campagne utilizzano i file .iqy (Excel Web Query) cioè semplici file di testo che vengono eseguiti, per impostazione predefinita, da Excel ed utilizzati per scaricare componenti aggiuntive malevoli da Internet. In particolare i file .IQY contengono URL e altri parametri necessari per scaricare dati remoti direttamente all’interno di Excel.
La peculiarità dell’utilizzo delle estensioni .IQY è che, proprio per la loro natura di semplice file di testo, non vengono per politiche di sicurezza bloccati o identificati dai sistemi di protezioni come oggetti nocivi.
Secondo il report di Barkly e da aggiuntive fonti emerge che queste campagne sono volte a diffondere un RAT che, una volta colpito un sistema, fornisce ai malintenzionati l’accesso illimitato alla macchina con la possibilità di rubare dati sensibili e personali.
Cosa sta succedendo?
Le nuove campagne di spam utilizzano allegati di file .iqy per bypassare gli AV e infettare le vittime con un trojan di accesso remoto (RAT).
Cosa sono i file .iqy?
I file Excel Web Query (.iqy) vengono utilizzati per scaricare i dati da Internet direttamente in Excel. Sono estremamente semplici (solo poche righe di testo), ma anche potenti. I file .iqy utilizzati in queste campagne scaricano uno script PowerShell, che viene lanciato tramite Excel e avvia una catena di download dannosi.
Di seguito una rappresentazione tipo della catena di infezione IQY Files:
Le email di innesco sono tipici messaggi di spam che apparentemente sembrano provenire da utenti o organizzazioni conosciute o relative a conversazioni già in atto.
Di seguito un campione di mail:
Una volta eseguito tramite interazione dell’utente, il file .IQY apre Excel e tenta di estrarre i dati dal percorso URL contenuto al suo interno. Aprendolo, con editor di testo, il file .IQY mostra la locazione remota che viene contattata nella catena di infezione e di seguito rappresentata a titolo di esempio:
Con questa semplice istruzione Excel tenta di estrarre i dati dall’URL che, nel caso delle principali campagne osservate, risulta contenere uno script Powershell. Microsoft Office è configurato per bloccare contenuti esterni, per tale ragione quanto viene eseguito il file .IQY, gli utenti riceveranno un messaggio di alert:
L’abilitazione ad eseguire il file .IQY determina il download di uno script Powershell che, per essere eseguito in Excel, necessita di un’ulteriore conferma di sicurezza come riportato di seguito:
Se l’utente conferma anche questo secondo avviso viene scaricato uno script Powershell incaricato di prelevare ed eseguire il malware ultimo; che nei casi osservati è associato a varianti di FlawedAmmyy, un RAT noto già dal 2016 in precedenti campagne spam.
>A titolo informativo si riportano gli indicatori di compromissione, nella disponibilità del CERT-PA e sottoposti all’analisi di Infosec, rilevati in due distinte campagne veicolate ultimamente:
SHA256 Tipo file
75dc94bb64c3b954c62d3f1ad6969c97ea5a99e4f7291e94e3a2f1791fe93766 PE
2e68fa5103cb54133bfc4532b0999f43ca226ccd0de4b0e93cffb24cc51cb148 PE
02de8e0ecfa2f83c95c30c8ec246c5a93e352a2677c5ae873ec98b9f988c9029 PE
1deea4e629223f259cc4363a1bff2944e930d80c32a41a449b09ccd3f5192a44 PE
c0f8206e1ecee64be222a19755337510609739d289a9892d29c69861437b8454 RAR Archive
e61f160407f99f8a4bd50e57ca9c1f7b6c8f1cd2c166bce73182f01c438979b8 PE
61b1dc4d69730dd83f7ef38dd01012fd3487a4db9eb52b024209967093ae180d PE
7db2e889b3156f3ebaea1340a129845b4935361e8cdcf92b430d64c96ac26014 PE
89763200b49b2929d8d550494b7466a9018416080a58ba93314be2331eb9e4d8 RAR Archive
0ce3f07e77ba0030ca5f0c2ce79d3a20e09857b9dbf01fb0b9388b7c56758ade PE
0defbd8be77f690b4bb4c2a5637c8521ed561a8b38d19d7d492136bce0cc8b07 PE
43bf8797d1374be3e34ba264a261a6b8cc053933c00dfa874660ed9b9e24e1f1 RAR Archive
fc581647548cf99cff48e37053556940787d7e5d71eeb6339013d02d369912b2 RAR Archive
9cd592337628253ae572bc5884d1ae8953069813fa3b714b9d8ae9cc894cee1f PE
7118738b356ece4e1da99d16afaedd73d7d6d280ff9c440c9e2733a7faab934e PE
d9a6b485f7355f2cfc99119597d2651d0c57adf0c51ec3c8f5fb89874fddda39 PE
c64669c65e0692a96306654fed3a357741f37597dbd5d0908d14483a6f69c141 RAR Archive
973d587a172849124bb758d2a8e22c83a0d4550ddfe3442c98962be538ab85c5 RAR Archive
5937491fb47f806c0ebc0acae76a48e3500daac2086a5112bbb31354e4e6bbf5 RAR Archive
0b0c027038b018da26ad5268535acc8b7e98d965fc260ecca086232b1771e8b9 PE
6a235d50087bc32a0062691ebbe6fb77ab4c091bc3e3a451f5cea801409b1975 PE
643daebb9fd8838df90b342a9c069f180639aa4fab2a203f796aa225237c0c6c PE
5b7fa746635bf0688c4de30d0b726ac4304b1f1b37eb5df4a907139f64051b3c PE
428d925ca3f05bb33d14b38bcbd032e3bb44788c927155eb6f98dc5aea3b9429 PE
31d8d346113c0097dbf9477c943112ab53a5d5ad33beb8e11b043d3baf8c0629 PE
be23970fccf3669cc05bbe76672b1cabfe2135a74bac94a578e432d961b441a4 PE
19ea8d9a6668f426585c5da934424b6acba5c1c3edceaec27d4f5254196fa925 PE
165de89a53dc48c83c03a261b17d1c12f45ec8d88c92e866493011323b857305 PE
da28ea011fcd7cea6dd7fd7eab93535d839cea7111bde5a87adb8dfa8e7e6d38 PE
49fec8925afb1a49f2978dbb715c37af9d4e4c7d68537414f30cdd73a3e0ea6e PE
2576f502d34dc0fa07c373cf8584004fd0790da4d58184ba7f5865c01de97e60 PE
67cc2b4ce663119ffca3f972632b76c59fffe1b233f717e77a9ddfa9470a324e PE
4f4d9c13ab233d9cb02344370f7a57388bd47bf1d70a00b2e258f108ce898a95 PE
85484d98aebd8b3968a2410cbe46913505dd171ccafdc112184fa9b69092a085 PE
cfe994f9a3ca4e0afac15b4708ec55b9264b7aabd2aa14e3058e74e99331b973 PE
08e6a6536a00995613d5a6f698ff183e789781f5914119526a7b6c3d0a3104bb PE
44f69523c095a70e59551014947f1a8261a599fe5eee6e7a3458dfa66bda1ae2 PE
15e261f2a870a438082f98e3739423f7ad14fe8b847f52f15bc7b801f227b3ce PE
cabb994ebcbd511f9b7ff12e2bd88f55cde7b57a494e50c457c501532016a78a PE
e0d3d0875487de690f3027645f09b4073215030a3f03d21928cba712aba78074 PE
a8771284618b04dceb500e28e710e9e685c5c0c2a33548bb438c43847e474bcc PE
79920155fa8e3c0845703299267c71ba32148c6df51912f8d5e6bdb39a9b3b33 PE
d7d4660d986d47d62e641dac4f2112df2e2e5773970e7c652052dd3ba6941c8c PE
cb25f1404cd98586c3f1cfba6aaceb795ed75c80675dea5d300e0c34588ae095 PE
5409ff53cf41ca764c992bab1f8d8f41edc423c9807fdacc6fb317351867e1b3 PE
3b9f3f039d65641797b6ddb924864f79fef2d930a41967af322243731aa0e9ab PE
801254043429ecc76257896353d83951b23a9aa23fdff776d14d62ca1d12bd3c PE
b821bc2494649167163953c03f91a5c42e7fc4ff476cbe61aec6a1326de02f22 PE
9d08efe0485a04c59091c3549cf57290a2b640c6ae82fe8f9000e13c25508df8 PE
29ae2115fcb824c10d78faae0ad1afc5771b4299c2036aa2394bd389cae53bdd PE
Consigli per mitigare il rischio contro Flawed Ammyy RAT e Malspam, Excel-based Internet Query (.iqy) file
Al momento non risultano in corso specifiche campagne verso utenze italiane, ad ogni modo è opportuno valutare l’attuazione di contromisure per contrastare questa tipologia di attacco. A tal proposito si consiglia agli amministratori di configurare i dispositivi di sicurezza, tra cui gli antispam, per bloccare i file con estensione .IQY. Come ulteriore contromisura è possibile associare tale estensione all’applicazione Blocco Note di Windows così da evitare che venga eseguita tramite Microsoft Excel.
Questo sito Web utilizza i cookie in modo da poterti offrire la migliore esperienza utente possibile. Le informazioni sui cookie sono memorizzate nel tuo browser e svolgono funzioni come riconoscerti quando ritorni sul nostro sito Web e aiutare il nostro team a capire quali sezioni del sito Web ritieni più interessanti e utili.
Puoi modificare le tue preferenze in qualsiasi momento tramite il pannello delle impostazioni.
Cookie strettamente necessari
I cookie strettamente necessari rimangono essere sempre attivati per poter salvare le tue preferenze (come ad esempio i carrelli) per fornire funzionalità ed erogare servizi di sicurezza e qualità.
Se disabiliti questo cookie, non saremo in grado di salvare le tue preferenze. Ciò significa che ogni volta che visiti questo sito web dovrai abilitare o disabilitare nuovamente i cookie.
Cookie di terze parti
Questo sito utilizza Google Analytics e Facebook Pixel per raccogliere informazioni anonime come il numero di visitatori del sito e le pagine più popolari. Mantenere abilitato questo cookie ci aiuta a migliorare il nostro sito web per fornire funzionalità ed erogare servizi di sicurezza e qualità, fornire, monitorare e gestire i servizi, proteggerti da spam, attività fraudolente e illeciti misurando il coinvolgimento e le statistiche.
Attiva i cookie strettamente necessari così da poter salvare le tue preferenze!
Cookie & Privacy Policy
Consulta la nostra Policy sulla Privacy e sui Cookie qui