Flawed Ammyy RAT e Malspam Excel-based Internet Query (.iqy) file

20 Luglio 2018

Allegati .IQY utilizzati per eludere le protezioni AV e scaricare malware: Flawed Ammyy RAT e Malspam, Excel-based Internet Query (.iqy) file

Dal monitoraggio delle fonti, in particolare nel corso degli ultimi due mesi da parte del CERT-PA, emerge che sono state lanciate campagne di malspam volte a veicolare malware di tipo RAT (Remote Access Trojan) tramite messaggi di posta elettronica contenenti allegati con estensione .iqy ingannando gli utenti a scaricare ed eseguire script dannosi via Excel.
Anziché utilizzare i documenti Office, o altre comuni estensioni, queste campagne utilizzano i file .iqy (Excel Web Query) cioè semplici file di testo che vengono eseguiti, per impostazione predefinita, da Excel ed utilizzati per scaricare componenti aggiuntive malevoli da Internet. In particolare i file .IQY contengono URL e altri parametri necessari per scaricare dati remoti direttamente all’interno di Excel.
La peculiarità dell’utilizzo delle estensioni .IQY è che, proprio per la loro natura di semplice file di testo, non vengono per politiche di sicurezza bloccati o identificati dai sistemi di protezioni come oggetti nocivi.
Secondo il report di Barkly e da aggiuntive fonti emerge che queste campagne sono volte a diffondere un RAT che, una volta colpito un sistema, fornisce ai malintenzionati l’accesso illimitato alla macchina con la possibilità di rubare dati sensibili e personali.

Cosa sta succedendo?

Le nuove campagne di spam utilizzano allegati di file .iqy per bypassare gli AV e infettare le vittime con un trojan di accesso remoto (RAT).

Cosa sono i file .iqy?

I file Excel Web Query (.iqy) vengono utilizzati per scaricare i dati da Internet direttamente in Excel. Sono estremamente semplici (solo poche righe di testo), ma anche potenti. I file .iqy utilizzati in queste campagne scaricano uno script PowerShell, che viene lanciato tramite Excel e avvia una catena di download dannosi.

Di seguito una rappresentazione tipo della catena di infezione IQY Files:

Le email di innesco sono tipici messaggi di spam che apparentemente sembrano provenire da utenti o organizzazioni conosciute o relative a conversazioni già in atto.
Di seguito un campione di mail:

Una volta eseguito tramite interazione dell’utente, il file .IQY apre Excel e tenta di estrarre i dati dal percorso URL contenuto al suo interno. Aprendolo, con editor di testo, il file .IQY mostra la locazione remota che viene contattata nella catena di infezione e di seguito rappresentata a titolo di esempio:

Con questa semplice istruzione Excel tenta di estrarre i dati dall’URL che, nel caso delle principali campagne osservate, risulta contenere uno script Powershell. Microsoft Office è configurato per bloccare contenuti esterni, per tale ragione quanto viene eseguito il file .IQY, gli utenti riceveranno un messaggio di alert:

L’abilitazione ad eseguire il file .IQY determina il download di uno script Powershell che, per essere eseguito in Excel, necessita di un’ulteriore conferma di sicurezza come riportato di seguito:

Se l’utente conferma anche questo secondo avviso viene scaricato uno script Powershell incaricato di prelevare ed eseguire il malware ultimo; che nei casi osservati è associato a varianti di FlawedAmmyy, un RAT noto già dal 2016 in precedenti campagne spam.

>A titolo informativo si riportano gli indicatori di compromissione, nella disponibilità del CERT-PA e sottoposti all’analisi di Infosec, rilevati in due distinte campagne veicolate ultimamente:

Caso 1

SHA256: 727ce79b953cdc1316fbb66decf8e3463dd0c59ac600b3fba77d1cefc35d9871

Dimensione file: 25 bytes

Nome file: PDF_38995.iqy

Descrizione file: Allegato di Malspam, Excel-based Internet Query (.iqy) file

Analisi Infosec: https://infosec.cert-pa.it/analyze/cf0de5f767ff76d02687b90b6292f44d.html

SHA256: c2080983598643a2498d1f6ef3f1cc9dc58a784a69e3f313f18dc1b8e0afbc17

Dimensione file: 659,968 bytes

Ubicazione file: C:\Users\[username] \AppData\Local\Temp\cls.exe

Descrizione file: Flawed Ammyy RAT

Analisi Infosec: https://infosec.cert-pa.it/analyze/e9fa74ffcdce2e51cdd693b062c93970.html

Caso 2

SHA256: 15c074ab2c3c57e199a9a123bd41a17eca61e5c475f161ee2cc8242d41649bf1

Dimensione file: 33 bytes

Nome File: PDF_060975187_13072018.iqy

Descrizione file: Allegato di Malspam, Excel-based Internet Query (.iqy) file

Analisi Infosec: https://infosec.cert-pa.it/analyze/be35ade510effc99ee9ce4702f96c310.html

SHA256: 73e149adb7cc2a09a7af59aecd441fd4469fc0342b687097cadfbce10896c629

Dimensione file: 669472 bytes

Nome file: wsus.exe

Descrizione file: Flawed Ammyy RAT

Analisi Infosec: https://infosec.cert-pa.it/analyze/06ee13537c8dbc29256fa06f70226e89.html

NOTA: Le analisi automatiche condotte sui campioni del malware Flawed Ammyy RAT evidenziano l’utilizzo di funzioni di Antidbg e Anti VM.

Si riportano inoltre gli indicatori di compromissione associati al RAT Ammyy rilevati dal 10 al 16 luglio 2018:

IoC (.txt)

SHA256 Tipo file
75dc94bb64c3b954c62d3f1ad6969c97ea5a99e4f7291e94e3a2f1791fe93766 PE
2e68fa5103cb54133bfc4532b0999f43ca226ccd0de4b0e93cffb24cc51cb148 PE
02de8e0ecfa2f83c95c30c8ec246c5a93e352a2677c5ae873ec98b9f988c9029 PE
1deea4e629223f259cc4363a1bff2944e930d80c32a41a449b09ccd3f5192a44 PE
c0f8206e1ecee64be222a19755337510609739d289a9892d29c69861437b8454 RAR Archive
e61f160407f99f8a4bd50e57ca9c1f7b6c8f1cd2c166bce73182f01c438979b8 PE
61b1dc4d69730dd83f7ef38dd01012fd3487a4db9eb52b024209967093ae180d PE
7db2e889b3156f3ebaea1340a129845b4935361e8cdcf92b430d64c96ac26014 PE
89763200b49b2929d8d550494b7466a9018416080a58ba93314be2331eb9e4d8 RAR Archive
0ce3f07e77ba0030ca5f0c2ce79d3a20e09857b9dbf01fb0b9388b7c56758ade PE
0defbd8be77f690b4bb4c2a5637c8521ed561a8b38d19d7d492136bce0cc8b07 PE
43bf8797d1374be3e34ba264a261a6b8cc053933c00dfa874660ed9b9e24e1f1 RAR Archive
fc581647548cf99cff48e37053556940787d7e5d71eeb6339013d02d369912b2 RAR Archive
9cd592337628253ae572bc5884d1ae8953069813fa3b714b9d8ae9cc894cee1f PE
7118738b356ece4e1da99d16afaedd73d7d6d280ff9c440c9e2733a7faab934e PE
d9a6b485f7355f2cfc99119597d2651d0c57adf0c51ec3c8f5fb89874fddda39 PE
c64669c65e0692a96306654fed3a357741f37597dbd5d0908d14483a6f69c141 RAR Archive
973d587a172849124bb758d2a8e22c83a0d4550ddfe3442c98962be538ab85c5 RAR Archive
5937491fb47f806c0ebc0acae76a48e3500daac2086a5112bbb31354e4e6bbf5 RAR Archive
0b0c027038b018da26ad5268535acc8b7e98d965fc260ecca086232b1771e8b9 PE
6a235d50087bc32a0062691ebbe6fb77ab4c091bc3e3a451f5cea801409b1975 PE
643daebb9fd8838df90b342a9c069f180639aa4fab2a203f796aa225237c0c6c PE
5b7fa746635bf0688c4de30d0b726ac4304b1f1b37eb5df4a907139f64051b3c PE
428d925ca3f05bb33d14b38bcbd032e3bb44788c927155eb6f98dc5aea3b9429 PE
31d8d346113c0097dbf9477c943112ab53a5d5ad33beb8e11b043d3baf8c0629 PE
be23970fccf3669cc05bbe76672b1cabfe2135a74bac94a578e432d961b441a4 PE
19ea8d9a6668f426585c5da934424b6acba5c1c3edceaec27d4f5254196fa925 PE
165de89a53dc48c83c03a261b17d1c12f45ec8d88c92e866493011323b857305 PE
da28ea011fcd7cea6dd7fd7eab93535d839cea7111bde5a87adb8dfa8e7e6d38 PE
49fec8925afb1a49f2978dbb715c37af9d4e4c7d68537414f30cdd73a3e0ea6e PE
2576f502d34dc0fa07c373cf8584004fd0790da4d58184ba7f5865c01de97e60 PE
67cc2b4ce663119ffca3f972632b76c59fffe1b233f717e77a9ddfa9470a324e PE
4f4d9c13ab233d9cb02344370f7a57388bd47bf1d70a00b2e258f108ce898a95 PE
85484d98aebd8b3968a2410cbe46913505dd171ccafdc112184fa9b69092a085 PE
cfe994f9a3ca4e0afac15b4708ec55b9264b7aabd2aa14e3058e74e99331b973 PE
08e6a6536a00995613d5a6f698ff183e789781f5914119526a7b6c3d0a3104bb PE
44f69523c095a70e59551014947f1a8261a599fe5eee6e7a3458dfa66bda1ae2 PE
15e261f2a870a438082f98e3739423f7ad14fe8b847f52f15bc7b801f227b3ce PE
cabb994ebcbd511f9b7ff12e2bd88f55cde7b57a494e50c457c501532016a78a PE
e0d3d0875487de690f3027645f09b4073215030a3f03d21928cba712aba78074 PE
a8771284618b04dceb500e28e710e9e685c5c0c2a33548bb438c43847e474bcc PE
79920155fa8e3c0845703299267c71ba32148c6df51912f8d5e6bdb39a9b3b33 PE
d7d4660d986d47d62e641dac4f2112df2e2e5773970e7c652052dd3ba6941c8c PE
cb25f1404cd98586c3f1cfba6aaceb795ed75c80675dea5d300e0c34588ae095 PE
5409ff53cf41ca764c992bab1f8d8f41edc423c9807fdacc6fb317351867e1b3 PE
3b9f3f039d65641797b6ddb924864f79fef2d930a41967af322243731aa0e9ab PE
801254043429ecc76257896353d83951b23a9aa23fdff776d14d62ca1d12bd3c PE
b821bc2494649167163953c03f91a5c42e7fc4ff476cbe61aec6a1326de02f22 PE
9d08efe0485a04c59091c3549cf57290a2b640c6ae82fe8f9000e13c25508df8 PE
29ae2115fcb824c10d78faae0ad1afc5771b4299c2036aa2394bd389cae53bdd PE

Indirizzi IP
109.248.9.94
190.196.2.76
185.136.205.59
177.0.38.217
222.66.47.28
187.18.214.210
131.100.248.174
202.43.114.250
188.42.129.148
219.135.61.26
103.218.100.218
178.77.137.36
220.160.127.106
223.25.109.2
103.254.171.43
23.129.64.103
212.96.199.98
199.249.223.42
91.219.133.209
191.185.183.251
58.210.28.202
80.82.215.17
80.254.104.48
88.212.252.238
188.211.22.188
91.219.136.52
116.30.122.141
220.178.85.210
14.114.208.136
168.205.242.10
80.90.88.54
60.161.189.80
219.137.206.26
148.101.72.77
196.188.63.241
154.72.162.157
138.255.156.21
125.214.48.195
115.218.136.162
114.125.111.191
110.54.246.185
103.6.91.43

Domini
padrup.com
doasoil.gov.np
cmyj.co.th
earnestbiz.com
fotozenistanbul.com
chonkanya.ac.th
dinamikdekor.com
alabousco.com
aniketkulkarni.in
muaythaiphuketschool.com
comsindia.com
rl.ammyy.com

Consigli per mitigare il rischio contro Flawed Ammyy RAT e Malspam, Excel-based Internet Query (.iqy) file

Al momento non risultano in corso specifiche campagne verso utenze italiane, ad ogni modo è opportuno valutare l’attuazione di contromisure per contrastare questa tipologia di attacco. A tal proposito si consiglia agli amministratori di configurare i dispositivi di sicurezza, tra cui gli antispam, per bloccare i file con estensione .IQY. Come ulteriore contromisura è possibile associare tale estensione all’applicazione Blocco Note di Windows così da evitare che venga eseguita tramite Microsoft Excel.

Source: CERT_PA

Rocco Balzamà

Ti potrebbero interessare

26 Gennaio 2020