最新病毒庫日期:
              • 威脅預警:大規模惡意郵件利用IQY附件傳播
              2018-08-14 16:26 來源:未知
              【文章摘要】近日,約290,000封相同的垃圾釣魚郵件在日本進行大規模傳播,發送的惡意郵件的附件擴展名為.iqy,用戶點擊附件后便會啟動Excel,最終下載執行惡意代碼。
              近日,約290,000封相同的垃圾釣魚郵件在日本進行大規模傳播,發送的惡意郵件的附件擴展名為.iqy,用戶點擊附件后便會啟動Excel,最終下載執行惡意代碼。江民赤豹網絡安全實驗室提醒用戶近期采取措施應對此類惡意威脅。

              威脅概述

              已經確認的垃圾電子郵件主題為“お世話になります(你的故事)”,“ご確認ください(請確認)”,“寫真添付(照片附件)”,“寫真送付の件(照片發送)”,附件名為“8月”+“數字字符串”,“收件人名稱”+“數字字符串”。發送的惡意郵件的附件擴展名為.iqy,該擴展名文件為不常見的文件類型,默認打開應用是EXCEL,攻擊者利用受害者對此類型文件名不熟悉的特點,構造了惡意的.iqy附件,用戶點擊附件后便會啟動Excel,最終下載執行惡意代碼。
               
              9月,日本首相安倍任期結束,日本執政的自民黨將進行新一輪總裁選舉,且此次使用到的惡意代碼為URSNIF,該惡意代碼以竊取數據為主要目的,由此或可猜測此次大面積感染事件有極大可能是為了收集公眾對于政治選舉態度的相關情報信息,且可能將從中篩選出高價值目標進行進一步擴大攻擊。

              惡意代碼介紹

              Excel Web Query(.iqy)可用于直接從網絡下載數據到Excel中,構造此類型惡意文檔的過程非常簡單,但構造文檔的功能非常強大。通常在打開.iqy文檔時,會遠程下載攻擊者構造的腳本命令,該腳本通過Excel啟用并執行下載安裝遠程控制工具實現感染目標主機的目的。早在2015年國外安全研究員Casey Smith就指出了利用.iqy文檔進行釣魚攻擊的潛在能力,直到今年5月底才陸續發現某些組織開始利用這種方式進行釣魚攻擊,已披露的攻擊行動是今年6月15日、16日黑客組織DarkHydrus針對中東政府發起的釣魚攻擊利用了.iqy附件的方式下載安裝遠控惡意代碼FlawedAmmyy。

              此次針對日本大規模的釣魚攻擊利用.iqy文檔下載安裝的遠控惡意代碼為URSNIF,該惡意代碼以竊取數據出名,在這之前該惡意代碼一直針對銀行進行攻擊,此次大面積的釣魚攻擊可見攻擊者的目的在于收集廣泛的相關信息,且可能希望從中篩選出高價值目標或進行進一步的攻擊行為。

              惡意代碼危害

              此次爆發的惡意代碼事件針對性較強,在短短數日之內垃圾郵件數量在日本達到了290,000封,且采用了不常見的.iqy文檔附件方式進行傳播,而不是之前常見利用0day的word文檔附件的方式進行傳播,利用了用戶對.iqy文檔擴展名不熟悉的特點,用戶點擊附件后便會直接啟動Excel,然后將嘗試下載遠程的腳本命令并執行。 
               
               
              圖1 IQY附件攻擊流程
              但在這個過程中會出現兩次警告,第一次提示是否啟用數據連接,用戶點擊啟用后又會彈出第二個警告提示,提示用戶是否啟動應用程序,如果用戶在兩次警告中都放行了可疑行為,就會執行遠程腳本內容,最終下載安裝指定的惡意代碼。(示例中使用了構造的簡單樣本,腳本內容為打開計算器)
               
              圖2 第一次警告提示 
               
              圖3 第二次警告提示 
               
              圖4 執行遠程服務器腳本內容
               

              惡意代碼危害

              通過大規模垃圾郵件附件.iqy文檔的形式誘導用戶打開附件,最終下載安裝遠控惡意代碼URSNIF。

              惡意代碼詳細分析

              詳情見URSNIF木馬分析 ,獲取詳細分析報告請聯系[email protected]

              處理方案

              修改后綴名為.iqy類型文件的默認打開方式:
              桌面創建.txt文件,修改后綴名為.iqy,右擊進入“屬性”,點擊“打開方式”標簽旁的“更改(C)”。                                             
              2. 選擇打開該類型文件的默認打開應用為記事本,此后雙擊該類型文檔就會以記事本方式打開文件,從而阻止攻擊者的惡意行為。
               
              全民彩票手机版