Спамеры используют файлы IQY для обхода почтовых фильтров - «Новости»
«Момент, которого вы так долго ждали»: создатели Pioner открыли запись на закрытую «бету», но зарегистрироваться не так уж и просто - «Новости сети»
«Момент, которого вы так долго ждали»: создатели Pioner открыли запись на закрытую «бету», но зарегистрироваться не так уж и просто - «Новости сети»
Соцсеть X обновила принцип блокировки пользователей — многим это не понравилось - «Новости сети»
Соцсеть X обновила принцип блокировки пользователей — многим это не понравилось - «Новости сети»
Обновлённый PC Manager очистит диск от мусора с помощью нового алгоритма и не только - «Новости сети»
Обновлённый PC Manager очистит диск от мусора с помощью нового алгоритма и не только - «Новости сети»
На фоне надвигающегося сиквела продажи Kingdom Come: Deliverance взяли новую высоту - «Новости сети»
На фоне надвигающегося сиквела продажи Kingdom Come: Deliverance взяли новую высоту - «Новости сети»
Дебютировал электрический кроссовер Zeekr X 2025 — автономность на 420 км и 268 л.с. всего за $21 050 - «Новости сети»
Дебютировал электрический кроссовер Zeekr X 2025 — автономность на 420 км и 268 л.с. всего за $21 050 - «Новости сети»
Теперь клиники могут отвечать на отзывы пользователей о врачах — «Блог для вебмастеров»
Теперь клиники могут отвечать на отзывы пользователей о врачах — «Блог для вебмастеров»
Создан порошок с рекордным уровнем поглощения CO2 из воздуха - «Новости сети»
Создан порошок с рекордным уровнем поглощения CO2 из воздуха - «Новости сети»
Криптовалюты упали после сообщения о расследовании возможных нарушений при использовании Tether - «Новости сети»
Криптовалюты упали после сообщения о расследовании возможных нарушений при использовании Tether - «Новости сети»
Обнаружена уязвимость Windows, позволяющая откатывать обновления безопасности - «Новости сети»
Обнаружена уязвимость Windows, позволяющая откатывать обновления безопасности - «Новости сети»
Тайным получателем чипов TSMC для Huawei оказалась компания, связанная с китайской Bitmain - «Новости сети»
Тайным получателем чипов TSMC для Huawei оказалась компания, связанная с китайской Bitmain - «Новости сети»
Новости мира Интернет » Новости » Спамеры используют файлы IQY для обхода почтовых фильтров - «Новости»

Специалисты компании Barkly предупреждают, что спамеры стали использовать файлы IQY (Internet Query), чтобы обманывать почтовые спам-фильтры.


При открытии такие файлы пытаются подгрузить данные из удаленного источника, причем полученная информация может быть и формулой Excel, которую программа выполнит после получения. Именно этим и пользуются злоумышленники: формулы используются для локального запуска скриптов PowerShell, которые отвечают за скачивание и загрузку AMMYY Admin в систему жертвы. Хотя AMMYY Admin — это легитимный инструмент для удаленного администрирования, злоумышленники используют его для неавторизованного доступа к системам своих жертв.


По данным исследователей, в настоящее время активны сразу три спамерские кампании, использующие данную методику. Распространение вредоносных почтовых вложений IQY впервые было обнаружено 25 мая 2018 года.


Журналисты BleepingComputer пишут, что спамеры традиционно маскируют свои послания под отсканированные документы, формуляры различных заказов или неоплаченных счетов. Все такие письма, содержат во вложении файлы IQY.





Создать такой вредоносный файл очень легко. В сущности, IQY – это текстовый файл, содержащий всего несколько строк с указанием адреса источника и его типа, а также ряд параметров, определяющих такие настройки, как частота запросов и интервал обновления. Во время открытия файла Excel считывает эти настройки и пытается установить соединение с указанным источником, чтобы импортировать данные.


Как уже было сказано выше, внешний источник может вернуть Excel формулу, которая должна быть выполнена. К примеру, эксплоит для запуска калькулятора (calc.exe) таким способом, будет выглядеть очень просто и может быть создан с помощью обычного «Блокнота»:

Спамеры используют файлы IQY для обхода почтовых фильтров - «Новости»

Запросив файл test.txt, Excel получит в ответ следующую формулу:

=cmd|' /c C:WindowsSystem32calc.exe'!A0


После этого на машине будет запущен калькулятор.


К счастью для пользователей, во время открытия файлов IQY Excel неоднократно предупреждает о потенциальной опасности и спрашивает подтверждение. Так, сначала программа уведомляет о том, что некие данные будут загружены из удаленного источника, и позволяет запретить это.





Если пользователь все же разрешил обратиться к удаленному источнику, Excel предупредит жертву еще раз, на этот раз сообщив, что будет запущено еще одно приложение. Пользователю вновь дадут возможность запретить программе это действие: достаточно просто нажать на кнопку «Нет».





К сожалению, исследователи Barkly и BleepingComputer отмечают, что пользователи попросту игнорируют такие предупреждения и не читают написанного вовсе, не глядя разрешая ПО выполнить опасные действия. Увы, именно по этой причине спам-кампании, подобные распространяющим файлы IQY, по-прежнему используются злоумышленниками и даже показывают себя эффективными.


Источник новостиgoogle.com

Специалисты компании Barkly предупреждают, что спамеры стали использовать файлы IQY (Internet Query), чтобы обманывать почтовые спам-фильтры. При открытии такие файлы пытаются подгрузить данные из удаленного источника, причем полученная информация может быть и формулой Excel, которую программа выполнит после получения. Именно этим и пользуются злоумышленники: формулы используются для локального запуска скриптов PowerShell, которые отвечают за скачивание и загрузку AMMYY Admin в систему жертвы. Хотя AMMYY Admin — это легитимный инструмент для удаленного администрирования, злоумышленники используют его для неавторизованного доступа к системам своих жертв. По данным исследователей, в настоящее время активны сразу три спамерские кампании, использующие данную методику. Распространение вредоносных почтовых вложений IQY впервые было обнаружено 25 мая 2018 года. Журналисты BleepingComputer пишут, что спамеры традиционно маскируют свои послания под отсканированные документы, формуляры различных заказов или неоплаченных счетов. Все такие письма, содержат во вложении файлы IQY. Создать такой вредоносный файл очень легко. В сущности, IQY – это текстовый файл, содержащий всего несколько строк с указанием адреса источника и его типа, а также ряд параметров, определяющих такие настройки, как частота запросов и интервал обновления. Во время открытия файла Excel считывает эти настройки и пытается установить соединение с указанным источником, чтобы импортировать данные. Как уже было сказано выше, внешний источник может вернуть Excel формулу, которая должна быть выполнена. К примеру, эксплоит для запуска калькулятора (calc.exe) таким способом, будет выглядеть очень просто и может быть создан с помощью обычного «Блокнота»: Запросив файл test.txt, Excel получит в ответ следующую формулу: =cmd|' /c C:WindowsSystem32calc.exe'!A0 После этого на машине будет запущен калькулятор. К счастью для пользователей, во время открытия файлов IQY Excel неоднократно предупреждает о потенциальной опасности и спрашивает подтверждение. Так, сначала программа уведомляет о том, что некие данные будут загружены из удаленного источника, и позволяет запретить это. Если пользователь все же разрешил обратиться к удаленному источнику, Excel предупредит жертву еще раз, на этот раз сообщив, что будет запущено еще одно приложение. Пользователю вновь дадут возможность запретить программе это действие: достаточно просто нажать на кнопку «Нет». К сожалению, исследователи Barkly и BleepingComputer отмечают, что пользователи попросту игнорируют такие предупреждения и не читают написанного вовсе, не глядя разрешая ПО выполнить опасные действия. Увы, именно по этой причине спам-кампании, подобные распространяющим файлы IQY, по-прежнему используются злоумышленниками и даже показывают себя эффективными. Источник новости - google.com

Смотрите также

А что там на главной? )))



Комментарии )))