مراقب فایل‌های IQY باشید!‎

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

q710

 

در روزها و هفته‌های اخیر، مهاجمان با ارسال هرزنامه‌هایی در تلاشند تا دستگاه کاربران را به بدافزار FlawedAmmyy آلوده کنند. نکته قابل توجه این که در این کارزارهای هرزنامه‌ای، از تکنیکی جدید و ساده اما بسیار خطرناک بهره گرفته شده است.

فرستنده این هرزنامه‌ها شبکه مخرب Necurs است که عنوان بزرگترین شبکه مخرب ارسال کننده هرزنامه را یدک می‌کشد.

پیوست هرزنامه‌های مذکور فایلی از نوع Excel Web Query با پسوند iqy است؛ فایلی حاوی متنی ساده و در ظاهر فاقد هر گونه عملکرد مخرب. نقش این فایل دریافت فایل مخرب مورد نظر مهاجمان است.

آنچه که این کارزارهای هرزنامه‌ای را بسیار خطرناک می‌کند عدم بررسی فایل‌های IQY توسط بسیاری از محصولات ضدویروس است که سازندگان آنها تا پیش از این، باور داشته‌اند که این فایل‌ها نمی‌توانند حاوی محتوای مخرب باشند و پویش آنها منجر به از دست رفت بیهوده منابع دستگاه توسط محصول می‌شود.

شکل زیر نمونه‌ای از این هرزنامه‌ها را نشان می‌دهد که در هفدهم خرداد ارسال شده است.

q711

عنوان و متن آن چیز زیادی برای گفتن ندارد و مشابه بسیاری از هرزنامه‌های رایج این روزهاست. اما خطر اصلی پیوست این ایمیل است که البته خوشبختانه با نام‌های زیر قابل شناسایی می‌باشد:

ESET-NOD32

LNK/TrojanDownloader.Agent.LH

Kaspersky

Trojan-Downloader.MSExcel.Agent.hu

اجرای فایل توسط کاربر، منجر به باز شدن نرم‌افزار Excel می‌شود و فایل تلاش می‌کند تا به نشانی درج شده در آن متصل شود. برای مثال، محتوای نمونه‌ای از پیوست این هرزنام‌ها در شکل زیر نمایش داده شده که همانطور که اشاره شد حاوی متنی بسیار ساده است.

q712

اما فایل dat که در فایل مذکور به آن اشاره شده دیگر سادگی IQY را ندارد و از طریق پروسه PowerShell اقدامات مخرب مورد نظر مهاجمان را بر روی دستگاه به اجرا در می‌آورد.

q713

خبر خوش اینکه در مجموعه نرم‌افزاری Office به‌صورت پیش‌فرض محتواهای خارجی به‌صورت خودکار اجرا نمی‌شوند و در پیامی از کاربر درخواست مجوز می‌شود.

اما با این حال همانطور که در حملات مبتنی بر ماکرو می‌بینیم کم نیستند کاربرانی که بدون در نظر گرفتن خطرات آن، بر روی دگمه Enable کلیک می‌کنند.

با کلیک بر روی دگمه مذکور، فایل IQY قادر به دریافت اسکریپت PowerShell خواهد بود. هر چند که پیش از اجرای آن نیز پنجره‌ای مشابه شکل ظاهر می‌شود و تا کاربر بر روی دگمه Yes کلیک نکند اتفاقی نمی‌افتد.

q714

هدف اصلی از استفاده از این تکنیک توسط مهاجمان این حمله آلوده کردن دستگاه قربانیان به بدافزار FlawedAmmyy است که پیش‌تر در این خبر به عملکرد آن پرداخته شده بود.

علاوه بر بکارگیری از ضدویروس به‌روز و قدرتمند، آموزش کاربران در پرهیز از باز نمودن پیوست‌های ایمیل مشکوک نقشی اساسی در ایمن نگاه داشتن سازمان از گزند این نوع حملات دارد.