Спамеры используют файлы IQY для обхода почтовых фильтров - «Новости»
sitename
Larian ответила на вопросы игроков о Divinity и генеративном ИИ в разработке — новые подробности амбициозной RPG от создателей Baldur’s Gate 3 - «Новости сети»
Larian ответила на вопросы игроков о Divinity и генеративном ИИ в разработке — новые подробности амбициозной RPG от создателей Baldur’s Gate 3 - «Новости сети»
 «Думал, быстрее умру, чем дождусь её»: спустя семь лет после «Мора» в Steam вышла Pathologic 3 - «Новости сети»
«Думал, быстрее умру, чем дождусь её»: спустя семь лет после «Мора» в Steam вышла Pathologic 3 - «Новости сети»
 «Sea of Thieves, но в пустыне»: трейлер эвакуационного шутера Sand: Raiders of Sophie понравился игрокам - «Новости сети»
«Sea of Thieves, но в пустыне»: трейлер эвакуационного шутера Sand: Raiders of Sophie понравился игрокам - «Новости сети»
 Учёные нашли способ превращения испорченного молока в материал для 3D-печати - «Новости сети»
Учёные нашли способ превращения испорченного молока в материал для 3D-печати - «Новости сети»
 Adata и MSI показали «первые в мире» 4-ранговые модули памяти DDR5 CUDIMM на 128 Гбайт - «Новости сети»
Adata и MSI показали «первые в мире» 4-ранговые модули памяти DDR5 CUDIMM на 128 Гбайт - «Новости сети»
 Спустя восемь лет после Wolfenstein 2: The New Colossus студия MachineGames взялась за Wolfenstein 3 — разработку подтвердил ещё один источник - «Новости сети»
Спустя восемь лет после Wolfenstein 2: The New Colossus студия MachineGames взялась за Wolfenstein 3 — разработку подтвердил ещё один источник - «Новости сети»
 Micron на следующей неделе заложит фундамент крупнейшего комплекса по производству памяти в США - «Новости сети»
Micron на следующей неделе заложит фундамент крупнейшего комплекса по производству памяти в США - «Новости сети»
 Власти потребовали от китайских компаний отменить заказы на американские ускорители Nvidia H200 - «Новости сети»
Власти потребовали от китайских компаний отменить заказы на американские ускорители Nvidia H200 - «Новости сети»
 Sony анонсировала лимитированную коллекцию ярких RGB-чехлов для PlayStation 5 - «Новости сети»
Sony анонсировала лимитированную коллекцию ярких RGB-чехлов для PlayStation 5 - «Новости сети»
 Блоки питания MSI получили звуковую защиту от плавления разъёма 12V-2×6 - «Новости сети»
Блоки питания MSI получили звуковую защиту от плавления разъёма 12V-2×6 - «Новости сети»
Новости мира Интернет » Новости » Спамеры используют файлы IQY для обхода почтовых фильтров - «Новости»

✔Спамеры используют файлы IQY для обхода почтовых фильтров - «Новости»

10 июня 2018 675 Новости 0

Специалисты компании Barkly предупреждают, что спамеры стали использовать файлы IQY (Internet Query), чтобы обманывать почтовые спам-фильтры.


При открытии такие файлы пытаются подгрузить данные из удаленного источника, причем полученная информация может быть и формулой Excel, которую программа выполнит после получения. Именно этим и пользуются злоумышленники: формулы используются для локального запуска скриптов PowerShell, которые отвечают за скачивание и загрузку AMMYY Admin в систему жертвы. Хотя AMMYY Admin — это легитимный инструмент для удаленного администрирования, злоумышленники используют его для неавторизованного доступа к системам своих жертв.


По данным исследователей, в настоящее время активны сразу три спамерские кампании, использующие данную методику. Распространение вредоносных почтовых вложений IQY впервые было обнаружено 25 мая 2018 года.


Журналисты BleepingComputer пишут, что спамеры традиционно маскируют свои послания под отсканированные документы, формуляры различных заказов или неоплаченных счетов. Все такие письма, содержат во вложении файлы IQY.





Создать такой вредоносный файл очень легко. В сущности, IQY – это текстовый файл, содержащий всего несколько строк с указанием адреса источника и его типа, а также ряд параметров, определяющих такие настройки, как частота запросов и интервал обновления. Во время открытия файла Excel считывает эти настройки и пытается установить соединение с указанным источником, чтобы импортировать данные.


Как уже было сказано выше, внешний источник может вернуть Excel формулу, которая должна быть выполнена. К примеру, эксплоит для запуска калькулятора (calc.exe) таким способом, будет выглядеть очень просто и может быть создан с помощью обычного «Блокнота»:

Спамеры используют файлы IQY для обхода почтовых фильтров - «Новости»

Запросив файл test.txt, Excel получит в ответ следующую формулу:

=cmd|' /c C:WindowsSystem32calc.exe'!A0


После этого на машине будет запущен калькулятор.


К счастью для пользователей, во время открытия файлов IQY Excel неоднократно предупреждает о потенциальной опасности и спрашивает подтверждение. Так, сначала программа уведомляет о том, что некие данные будут загружены из удаленного источника, и позволяет запретить это.





Если пользователь все же разрешил обратиться к удаленному источнику, Excel предупредит жертву еще раз, на этот раз сообщив, что будет запущено еще одно приложение. Пользователю вновь дадут возможность запретить программе это действие: достаточно просто нажать на кнопку «Нет».





К сожалению, исследователи Barkly и BleepingComputer отмечают, что пользователи попросту игнорируют такие предупреждения и не читают написанного вовсе, не глядя разрешая ПО выполнить опасные действия. Увы, именно по этой причине спам-кампании, подобные распространяющим файлы IQY, по-прежнему используются злоумышленниками и даже показывают себя эффективными.


Источник новостиgoogle.com
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Специалисты компании Barkly предупреждают, что спамеры стали использовать файлы IQY (Internet Query), чтобы обманывать почтовые спам-фильтры. При открытии такие файлы пытаются подгрузить данные из удаленного источника, причем полученная информация может быть и формулой Excel, которую программа выполнит после получения. Именно этим и пользуются злоумышленники: формулы используются для локального запуска скриптов PowerShell, которые отвечают за скачивание и загрузку AMMYY Admin в систему жертвы. Хотя AMMYY Admin — это легитимный инструмент для удаленного администрирования, злоумышленники используют его для неавторизованного доступа к системам своих жертв. По данным исследователей, в настоящее время активны сразу три спамерские кампании, использующие данную методику. Распространение вредоносных почтовых вложений IQY впервые было обнаружено 25 мая 2018 года. Журналисты BleepingComputer пишут, что спамеры традиционно маскируют свои послания под отсканированные документы, формуляры различных заказов или неоплаченных счетов. Все такие письма, содержат во вложении файлы IQY. Создать такой вредоносный файл очень легко. В сущности, IQY – это текстовый файл, содержащий всего несколько строк с указанием адреса источника и его типа, а также ряд параметров, определяющих такие настройки, как частота запросов и интервал обновления. Во время открытия файла Excel считывает эти настройки и пытается установить соединение с указанным источником, чтобы импортировать данные. Как уже было сказано выше, внешний источник может вернуть Excel формулу, которая должна быть выполнена. К примеру, эксплоит для запуска калькулятора (calc.exe) таким способом, будет выглядеть очень просто и может быть создан с помощью обычного «Блокнота»: Запросив файл test.txt, Excel получит в ответ следующую формулу: =cmd|' /c C:WindowsSystem32calc.exe'!A0 После этого на машине будет запущен калькулятор. К счастью для пользователей, во время открытия файлов IQY Excel неоднократно предупреждает о потенциальной опасности и спрашивает подтверждение. Так, сначала программа уведомляет о том, что некие данные будут загружены из удаленного источника, и позволяет запретить это. Если пользователь все же разрешил обратиться к удаленному источнику, Excel предупредит жертву еще раз, на этот раз сообщив, что будет запущено еще одно приложение. Пользователю вновь дадут возможность запретить программе это действие: достаточно просто нажать на кнопку «Нет». К сожалению, исследователи Barkly и BleepingComputer отмечают, что пользователи попросту игнорируют такие предупреждения и не читают написанного вовсе, не глядя разрешая ПО выполнить опасные действия. Увы, именно по этой причине спам-кампании, подобные распространяющим файлы IQY, по-прежнему используются злоумышленниками и даже показывают себя эффективными. Источник новости - google.com
CSS, файлы такие удаленного быть может
0

Смотрите также

А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация