Спамеры используют файлы IQY для обхода почтовых фильтров - «Новости»
Переносы, переработки и потеря талантов: сотрудники Bethesda Game Studios предупредили, чем увольнения в студии обернутся для The Elder Scrolls VI - «Новости сети»
Переносы, переработки и потеря талантов: сотрудники Bethesda Game Studios предупредили, чем увольнения в студии обернутся для The Elder Scrolls VI - «Новости сети»
OpenAI выпустила GPT-5.6 и научила ChatGPT выполнять многоэтапные рабочие задачи в режиме Wor - «Новости сети»
OpenAI выпустила GPT-5.6 и научила ChatGPT выполнять многоэтапные рабочие задачи в режиме Wor - «Новости сети»
Игроки Subnautica 2 тонут в 3829 раз чаще американцев и другая интересная статистика раннего доступа - «Новости сети»
Игроки Subnautica 2 тонут в 3829 раз чаще американцев и другая интересная статистика раннего доступа - «Новости сети»
США заставят Samsung и SK hynix последовать примеру Micron и выпускать память в стране - «Новости сети»
США заставят Samsung и SK hynix последовать примеру Micron и выпускать память в стране - «Новости сети»
SpaceX бьёт рекорды: в 36-й раз запустила одну ступень Falcon 9 и вывела почти 1600 спутников Starlink за полгода - «Новости сети»
SpaceX бьёт рекорды: в 36-й раз запустила одну ступень Falcon 9 и вывела почти 1600 спутников Starlink за полгода - «Новости сети»
Авторитетный инсайдер прояснил, когда выйдет The Elder Scrolls VI - «Новости сети»
Авторитетный инсайдер прояснил, когда выйдет The Elder Scrolls VI - «Новости сети»
Сюжетное дополнение Revelations к Doom: The Dark Ages стартовало в Steam с «очень положительными» отзывами и полной русской локализацией - «Новости сети»
Сюжетное дополнение Revelations к Doom: The Dark Ages стартовало в Steam с «очень положительными» отзывами и полной русской локализацией - «Новости сети»
Ampera напечатала на 3D-принтере малый ториевый реактор для питания дата-центров - «Новости сети»
Ampera напечатала на 3D-принтере малый ториевый реактор для питания дата-центров - «Новости сети»
NVIDIA втихую сделала платформу Omniverse бесплатной, но есть нюанс - «Новости сети»
NVIDIA втихую сделала платформу Omniverse бесплатной, но есть нюанс - «Новости сети»
Власти Индии потребовали от Telegram в течение 15 дней принять решительные меры по борьбе с распространением пиратского контента - «Новости сети»
Власти Индии потребовали от Telegram в течение 15 дней принять решительные меры по борьбе с распространением пиратского контента - «Новости сети»
Новости мира Интернет » Новости » Спамеры используют файлы IQY для обхода почтовых фильтров - «Новости»

Специалисты компании Barkly предупреждают, что спамеры стали использовать файлы IQY (Internet Query), чтобы обманывать почтовые спам-фильтры.


При открытии такие файлы пытаются подгрузить данные из удаленного источника, причем полученная информация может быть и формулой Excel, которую программа выполнит после получения. Именно этим и пользуются злоумышленники: формулы используются для локального запуска скриптов PowerShell, которые отвечают за скачивание и загрузку AMMYY Admin в систему жертвы. Хотя AMMYY Admin — это легитимный инструмент для удаленного администрирования, злоумышленники используют его для неавторизованного доступа к системам своих жертв.


По данным исследователей, в настоящее время активны сразу три спамерские кампании, использующие данную методику. Распространение вредоносных почтовых вложений IQY впервые было обнаружено 25 мая 2018 года.


Журналисты BleepingComputer пишут, что спамеры традиционно маскируют свои послания под отсканированные документы, формуляры различных заказов или неоплаченных счетов. Все такие письма, содержат во вложении файлы IQY.





Создать такой вредоносный файл очень легко. В сущности, IQY – это текстовый файл, содержащий всего несколько строк с указанием адреса источника и его типа, а также ряд параметров, определяющих такие настройки, как частота запросов и интервал обновления. Во время открытия файла Excel считывает эти настройки и пытается установить соединение с указанным источником, чтобы импортировать данные.


Как уже было сказано выше, внешний источник может вернуть Excel формулу, которая должна быть выполнена. К примеру, эксплоит для запуска калькулятора (calc.exe) таким способом, будет выглядеть очень просто и может быть создан с помощью обычного «Блокнота»:

Спамеры используют файлы IQY для обхода почтовых фильтров - «Новости»

Запросив файл test.txt, Excel получит в ответ следующую формулу:

=cmd|' /c C:WindowsSystem32calc.exe'!A0


После этого на машине будет запущен калькулятор.


К счастью для пользователей, во время открытия файлов IQY Excel неоднократно предупреждает о потенциальной опасности и спрашивает подтверждение. Так, сначала программа уведомляет о том, что некие данные будут загружены из удаленного источника, и позволяет запретить это.





Если пользователь все же разрешил обратиться к удаленному источнику, Excel предупредит жертву еще раз, на этот раз сообщив, что будет запущено еще одно приложение. Пользователю вновь дадут возможность запретить программе это действие: достаточно просто нажать на кнопку «Нет».





К сожалению, исследователи Barkly и BleepingComputer отмечают, что пользователи попросту игнорируют такие предупреждения и не читают написанного вовсе, не глядя разрешая ПО выполнить опасные действия. Увы, именно по этой причине спам-кампании, подобные распространяющим файлы IQY, по-прежнему используются злоумышленниками и даже показывают себя эффективными.


Источник новостиgoogle.com

Специалисты компании Barkly предупреждают, что спамеры стали использовать файлы IQY (Internet Query), чтобы обманывать почтовые спам-фильтры. При открытии такие файлы пытаются подгрузить данные из удаленного источника, причем полученная информация может быть и формулой Excel, которую программа выполнит после получения. Именно этим и пользуются злоумышленники: формулы используются для локального запуска скриптов PowerShell, которые отвечают за скачивание и загрузку AMMYY Admin в систему жертвы. Хотя AMMYY Admin — это легитимный инструмент для удаленного администрирования, злоумышленники используют его для неавторизованного доступа к системам своих жертв. По данным исследователей, в настоящее время активны сразу три спамерские кампании, использующие данную методику. Распространение вредоносных почтовых вложений IQY впервые было обнаружено 25 мая 2018 года. Журналисты BleepingComputer пишут, что спамеры традиционно маскируют свои послания под отсканированные документы, формуляры различных заказов или неоплаченных счетов. Все такие письма, содержат во вложении файлы IQY. Создать такой вредоносный файл очень легко. В сущности, IQY – это текстовый файл, содержащий всего несколько строк с указанием адреса источника и его типа, а также ряд параметров, определяющих такие настройки, как частота запросов и интервал обновления. Во время открытия файла Excel считывает эти настройки и пытается установить соединение с указанным источником, чтобы импортировать данные. Как уже было сказано выше, внешний источник может вернуть Excel формулу, которая должна быть выполнена. К примеру, эксплоит для запуска калькулятора (calc.exe) таким способом, будет выглядеть очень просто и может быть создан с помощью обычного «Блокнота»: Запросив файл test.txt, Excel получит в ответ следующую формулу: =cmd|' /c C:WindowsSystem32calc.exe'!A0 После этого на машине будет запущен калькулятор. К счастью для пользователей, во время открытия файлов IQY Excel неоднократно предупреждает о потенциальной опасности и спрашивает подтверждение. Так, сначала программа уведомляет о том, что некие данные будут загружены из удаленного источника, и позволяет запретить это. Если пользователь все же разрешил обратиться к удаленному источнику, Excel предупредит жертву еще раз, на этот раз сообщив, что будет запущено еще одно приложение. Пользователю вновь дадут возможность запретить программе это действие: достаточно просто нажать на кнопку «Нет». К сожалению, исследователи Barkly и BleepingComputer отмечают, что пользователи попросту игнорируют такие предупреждения и не читают написанного вовсе, не глядя разрешая ПО выполнить опасные действия. Увы, именно по этой причине спам-кампании, подобные распространяющим файлы IQY, по-прежнему используются злоумышленниками и даже показывают себя эффективными. Источник новости - google.com

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Смотрите также

А что там на главной? )))



Комментарии )))