نماد سایت اتاق خبر شبکه گستر

مراقب فایل‌های IQY باشید!

در روزها و هفته‌های اخیر، مهاجمان با ارسال هرزنامه‌هایی در تلاشند تا دستگاه کاربران را به بدافزار FlawedAmmyy آلوده کنند. نکته قابل توجه این که در این کارزارهای هرزنامه‌ای، از تکنیکی جدید و ساده اما بسیار خطرناک بهره گرفته شده است.

فرستنده این هرزنامه‌ها، Necurs است که عنوان بزرگترین شبکه مخرب ارسال‌کننده هرزنامه را در کارنامه دارد.

پیوست هرزنامه‌های مذکور فایلی از نوع Excel Web Query با پسوند iqy است؛ فایلی حاوی متنی ساده و در ظاهر فاقد هر گونه عملکرد مخرب. نقش این فایل دریافت فایل مخرب مورد نظر مهاجمان است.

به گزارش شرکت مهندسی شبکه گستر، آنچه که این کارزارهای هرزنامه‌ای را بسیار خطرناک می‌کند عدم بررسی فایل‌های IQY توسط بسیاری از محصولات ضدویروس است که سازندگان آنها تا پیش از این، باور داشته‌اند که این فایل‌ها نمی‌توانند حاوی محتوای مخرب باشند و پویش آنها منجر به از دست رفت بیهوده منابع دستگاه توسط محصول می‌شود.

شکل زیر نمونه‌ای از این هرزنامه‌ها را نشان می‌دهد که در هفدهم خرداد ارسال شده است.

عنوان و متن آن چیز زیادی برای گفتن ندارد و مشابه بسیاری از هرزنامه‌های رایج این روزهاست. اما خطر اصلی پیوست این ایمیل است که البته خوشبختانه با نام‌های زیر قابل شناسایی می‌باشد:

Bitdefender:
   – Trojan.Agent.CZXA

McAfee:
   – LNK/Downloader.d

Sophos:
   – Troj/DocDl-NZI

اجرای فایل توسط کاربر، منجر به باز شدن نرم‌افزار Excel می‌شود و فایل تلاش می‌کند تا به نشانی درج شده در آن متصل شود. برای مثال، محتوای نمونه‌ای از پیوست این هرزنامه ها در شکل زیر نمایش داده شده که همانطور که اشاره شد حاوی متنی بسیار ساده است.

اما فایل dat که در فایل مذکور به آن اشاره شده دیگر سادگی IQY را ندارد و اسکریپتی است که از طریق پروسه مجاز PowerShell اقدامات مخرب مورد نظر مهاجمان را بر روی دستگاه به اجرا در می‌آورد.

اسکریپت مذکور نیز با نام های زیر شناسایی می شود:

Bitdefender:
   – Generic.IQYDownloader.1.28BF0E82

McAfee:
   – PS/Downloader.ad

Sophos:
   – Troj/Dwnldr-VPL

خبر خوش اینکه در مجموعه نرم‌افزاری Office به‌صورت پیش‌فرض محتواهای خارجی به‌صورت خودکار اجرا نمی‌شوند و در پیامی از کاربر درخواست مجوز می‌شود.

اما با این حال همانطور که در حملات مبتنی بر ماکرو می‌بینیم کم نیستند کاربرانی که بدون در نظر گرفتن خطرات آن، بر روی دگمه Enable کلیک می‌کنند.

با کلیک بر روی دگمه مذکور، فایل IQY قادر به دریافت اسکریپت PowerShell خواهد شد. هر چند که پیش از اجرای آن نیز پنجره‌ای مشابه شکل ظاهر می‌شود و تا کاربر بر روی دگمه Yes کلیک نکند اتفاقی نمی‌افتد.

هدف اصلی از استفاده از این تکنیک توسط مهاجمان این حمله آلوده کردن دستگاه قربانیان به بدافزار FlawedAmmyy است که پیش‌تر در این خبر به عملکرد آن پرداخته شده بود.

علاوه بر بکارگیری از ضدویروس به‌روز و قدرتمند، آموزش کاربران در پرهیز از باز نمودن پیوست‌های ایمیل مشکوک نقشی اساسی در ایمن نگاه داشتن سازمان از گزند این نوع حملات دارد.

خروج از نسخه موبایل