最新病毒库日期:
              • 威胁预警:大规模恶意邮件利用IQY附件传播
              2018-08-14 16:26 来源:未知
              【文章摘要】近日,约290,000封相同的垃圾钓鱼邮件在日本进行大规模传播,发送的恶意邮件的附件扩展名为.iqy,用户点击附件后便会启动Excel,最终下载执行恶意代码。
              近日,约290,000封相同的垃圾钓鱼邮件在日本进行大规模传播,发送的恶意邮件的附件扩展名为.iqy,用户点击附件后便会启动Excel,最终下载执行恶意代码。江民赤豹网络安全实验室提醒用户近期采取措施应?#28304;?#31867;恶意威胁。

              威胁概述

              已经确认的垃圾电子邮件主题为“お世話になります(你的故事)”,“ご確認ください(请确认)”,“写真添付(照片附件)”,“写真送付の件(照片发送)”,附件名为“8月”+“数字字符串”,“收件人名称”+“数字字符串”。发送的恶意邮件的附件扩展名为.iqy,该扩展名文件为不常见的文件类型,默认打开应用是EXCEL,攻击者利用受害者?#28304;?#31867;型文件名不熟悉的特点,构造了恶意的.iqy附件,用户点击附件后便会启动Excel,最终下载执行恶意代码。
               
              9月,日本首相安倍任期结束,日本执政的自民党将进行新一轮总裁选举,且此次使用到的恶意代码为URSNIF,该恶意代码以窃取数据为主要目?#27169;?#30001;此或可猜测此次大面积感染事件有极大可能是为了?#21344;?#20844;众对于政治选举态度的相关情报信息,且可能将从中筛选出高价?#30340;?#26631;进行进一步扩大攻击。

              恶意代码介绍

              Excel Web Query(.iqy)可用于直接从网络下载数据到Excel中,构造此类型恶意文档的过程非常简单,但构造文档的功能非常强大。通常在打开.iqy文档?#20445;?#20250;远程下载攻击者构造的脚本命令,该脚本通过Excel启用并执行下载安装远程控制工具实现感染目标主机的目的。早在2015年国外安全研究员Casey Smith就指出了利用.iqy文档进行钓鱼攻击的潜在能力,直到今年5月底才陆续发现某些组织开始利用这种方式进行钓鱼攻击,已披露的攻击行动?#22681;?#24180;6月15日、16日黑客组织DarkHydrus针对中东政府发起的钓鱼攻击利用了.iqy附件的方式下载安装远控恶意代码FlawedAmmyy。

              此次针对日本大规模的钓鱼攻击利用.iqy文档下载安装的远控恶意代码为URSNIF,该恶意代码以窃取数据出名,在这之?#26696;?#24694;意代码一直针对银行进行攻击,此次大面积的钓鱼攻击可见攻击者的目的在于?#21344;?#24191;泛的相关信息,且可能希望从中筛选出高价?#30340;?#26631;或进行进一步的攻击行为。

              恶意代码危害

              此次爆发的恶意代码事件针对性较强,在短短数日之内垃圾邮件数量在日本达到了290,000封,且采用了不常见的.iqy文档附件方式进行传播,而不是之前常见利用0day的word文档附件的方式进行传播,利用了用户对.iqy文?#36947;?#23637;名不熟悉的特点,用户点击附件后便会直接启动Excel,然后将尝试下载远程的脚本命令并执行。 
               
               
              图1 IQY附件攻击流程
              但在这个过程中会出现两次警告,第一次提示是否启用数据连接,用户点击启用后又会弹出第二个警告提示,提示用户是否启动应用程序,如果用户在两次警告中都放行了可疑行为,就会执行远程脚本内容,最终下载安装?#20184;?#30340;恶意代码。(示例中使用了构造的简单样本,脚本内容为打开计算器)
               
              图2 第一次警告提示 
               
              图3 第二次警告提示 
               
              图4 执行远程服务器脚本内容
               

              恶意代码危害

              通过大规模垃圾邮件附件.iqy文档的形?#25509;?#23548;用户打开附件,最终下载安装远控恶意代码URSNIF。

              恶意代码详细?#27835;?/h3> 详情见URSNIF木马?#27835;?,获取详细?#27835;?#25253;告请联系[email protected]

              处理方案

              修改后缀名为.iqy类型文件的默认打开方式:
              桌面创建.txt文件,修改后缀名为.iqy,?#19968;?#36827;入“属性”,点击“打开方式”标签旁的“更改(C)”。                                             
              2. 选择打开该类型文件的默认打开应用为记事本,此后双击该类型文档就会?#32422;?#20107;本方式打开文件,从而阻止攻击者的恶意行为。
               
              全民彩票手机版