Los atacantes están usando un tipo de archivo engañosamente simple para evitar AV y engañar a los usuarios para que descarguen y ejecuten scripts maliciosos a través de Excel.
Detalles clave:
¿Qué esta pasando?
Las nuevas campañas de spam utilizan archivos adjuntos .iqy para eludir AV e infectar a las víctimas con un troyano de acceso remoto.
¿Qué son los archivos .iqy?
Los archivos de Excel Web Query (.iqy) se utilizan para descargar datos de Internet directamente a Excel. Son extremadamente simples (solo unas pocas líneas de texto), pero también de gran alcance. Los archivos .iqy utilizados en estas campañas descargan un script de PowerShell, que se inicia a través de Excel y pone en marcha una cadena de descargas maliciosas.
¿Cómo se ven los correos electrónicos no deseados?
Actualmente, están disfrazadas como alertas de "factura no pagada", que parecen haber sido enviadas por alguien dentro de la organización de la víctima. Ej .: random.name@victimsdomain.com.
¿Cuál es la carga útil?
Actualmente, un troyano de acceso remoto (RAT) llamado FlawedAmmyy. Basado en el código fuente filtrado para el software de escritorio remoto Ammyy Admin, efectivamente da a los atacantes acceso completo a las máquinas infectadas.
¿Qué hace que esto sea diferente de otros ataques?
Si bien los investigadores ya han escrito sobre el potencial del uso indebido de archivos .iqy, esta puede ser la primera vez que se ve en una importante campaña de spam en la naturaleza. Como resultado, y debido a que los archivos .iqy tienen casos de uso legítimos, están pasando por alto la mayoría de los filtros y AV. La capacidad de estos archivos para abrir Excel y (si los usuarios eligen ignorar las advertencias) descargar cualquier dato de Internet los hace extremadamente peligrosos.
¿Cómo me protege Barkly de estos ataques? A diferencia de las soluciones antivirus, Barkly no se limita a bloquear archivos maliciosos basados en firmas o atributos. También bloquea la actividad sospechosa del sistema y los patrones de proceso. En este caso, se ve a Excel intentando ejecutar cmd.exe para iniciar powershell.exe, y bloquea ese comportamiento antes de que pueda dar lugar a cargas descargadas de Internet.
Se detectó una ola más pequeña posterior el 5 de junio de 2018.
El cuerpo del correo electrónico está en blanco, pero como se explicó anteriormente, el archivo adjunto .iqy es donde las cosas se ponen interesantes.
Como se mencionó, los escáneres AV claramente no están preparados para archivos .iqy. El archivo adjunto incluido en la campaña del 5 de junio tuvo cero detecciones de acuerdo con VirusTotal. Un día después, las detecciones totales aumentaron a solo cinco.
Cuando se abre, el archivo .iqy se inicia a través de Excel (su programa predeterminado) e intenta obtener datos de la URL incluida en el interior. Como señala Jon Wittwer en su explicación de los archivos de Excel Web Query, en su forma básica, un archivo .iqy es increíblemente simplista.
Abierto en el Bloc de notas, el archivo .iqy incluido en la segunda ola de correos electrónicos no deseados, por ejemplo, simplemente se ve así:
Eso es. Con esa instrucción simple, Excel intenta extraer datos de esa URL, que, en este caso, pasa a ser una secuencia de comandos de PowerShell.
El script de PowerShell descarga un segundo archivo de script (1.dat):
Ese script descarga un archivo .xls, que en realidad es un archivo .exe disfrazado. La carga final es FlawedAmmyy, una RAT que tiene una historia de fondo interesante por sí misma.
Creado a partir del código fuente filtrado del popular software de escritorio remoto Ammyy Admin, FlawedAmmyy ofrece a los atacantes muchas de las capacidades que ofrece la herramienta legítima. En otras palabras, esencialmente les otorga a los atacantes acceso completo a las máquinas de las víctimas, lo que les permite robar archivos y credenciales, secuestrar las computadoras para enviar más correos electrónicos no deseados, y más.
Fuente:
https://blog.barkly.com/iqy-file-attack-malware-flawedammyy
http://www.kernelmode.info/forum/viewtopic.php?f=16&t=5032
Saludos.