人的弱点依旧是最薄弱环节
你有没有走过一家商店,发现了一件看起来很奇怪的物品,但你还是把它放进了你的购物车里?也许它很有吸引力,因为它是你想要弄来琢磨一番的新东西;也许它看起来很闪亮—你必须拥有它……如果是这样,你可能危险了,攻击者正在寻找和你一样的购物者。他们不断发布新的“产品”,通常是狡猾的电子邮件,以吸引毫无戒心的用户。最近出现的一波恶意“产品”已经通过互联网查询文件(IQY)中的未经请求链接以电邮形式进入虚拟“购物街”。
什么是IQY?
什么是IQY文件附件?为什么它成为了黑客发动攻击的主流风格?MicrosoftExcel使用此类型的文件将数据从Internet提取到电子表格中,为此,URL被嵌入到IQY文件中,该文件便于从指定的网页中提取数据。
虽然IQY文件扩展名对许多用户来说听起来有点陌生,但是如果你看一下使用SharePoint的企业级网络,例如一个与MicrosoftOffice集成的基于Web的协作平台,你肯定会找到许多使用IQY文件的实例。这些文件可帮助网络用户共享和编辑Excel电子表格,以及其他用途。可以想象,带有嵌入式URL的常见文件可以很容易地被用于恶意目的。这就是为什么这些类型的文件不会在不与用户交互的情况下运行代码的原因。为防止其内容自动加载,文件中内置了一个安全提示,询问用户打开IQY文件时是否要“启用”数据连接。
为什么攻击者很喜欢IQY文件?
出于几个原因,IQY文件对攻击者来说很有吸引力。首先,它们很容易创建,使用文本编辑程序就可以创建IQY文件。攻击者可以将其恶意指令与可操作的URL一起插入文本编辑器,并使用“.iqy”扩展名保存。然后,他们可以使用该文件直接从感染区域传递恶意代码。IQY也很小且很不显眼,使得它们更容易植入垃圾邮件中。
这种类型的文件附件相对不常见,并且通常不会附加到电子邮件中,这就是攻击者可能感兴趣的原因。攻击者不断在其垃圾邮件活动中随机插放文件类型,目标就是那些毫无戒心的用户。他们还试图防范安全解决方案,特别是那些过滤网络钓鱼和恶意软件感染活动中最常见的文件类型和扩展的解决方案(比如各种的安全软件)。
IQY攻击!
据IBMX-Force最近披露的统计数据显示,近几个月来,在垃圾邮件活动中使用IQY文件的情况一直在增加。
从年5月25日开始,首次观察到一个主要的恶意垃圾邮件分销商Necurs僵尸网络使用了武器化的IQY文件附件。到年5月下旬到7月中旬,IBMX-Force研究人员在其垃圾邮件陷阱中捕获了来自Necurs资源的,多封垃圾邮件,所有这些消息都包含IQY附件。
进一步分析在垃圾邮件陷阱中捕获的电子邮件后,确认IQY附件包含恶意URL。一旦用户被诱骗执行这些恶意的URL链接,设备上的感染链就会启动。这最终会导致设备在用户不知情的情况下下载FlawedAmmyRAT(这是一种恶意的远程访问工具,其源代码在年3月泄露,曾引发了大量的黑客攻击活动,波及面达数十万用户)。
以下是一些包含在X-Force活动中的NecursIQY附件里的恶意的URL示例(缺省
