最新病毒库日期:
  • 威胁预警:大规模恶意邮件利用IQY附件传播
2018-08-14 16:26 来源:未知
【文章摘要】近日,约290,000封相同的垃圾钓鱼邮件在日本进行大规模传播,发送的恶意邮件的附件扩展名为.iqy,用户点击附件后便会启动Excel,最终下载执行恶意代码。
近日,约290,000封相同的垃圾钓鱼邮件在日本进行大规模传播,发送的恶意邮件的附件扩展名为.iqy,用户点击附件后便会启动Excel,最终下载执行恶意代码。江民赤豹网络安全实验室提醒用户近期采取措施应对此类恶意威胁。

威胁概述

已经确认的垃圾电子邮件主题为“お世話になります(你的故事)”,“ご確認ください(请确认)”,“写真添付(照片附件)”,“写真送付の件(照片发送)”,附件名为“8月”+“数字字符串”,“收件人名称”+“数字字符串”。发送的恶意邮件的附件扩展名为.iqy,该扩展名文件为不常见的文件类型,默认打开应用是EXCEL,攻击者利用受害者对此类型文件名不熟悉的特点,构造了恶意的.iqy附件,用户点击附件后便会启动Excel,最终下载执行恶意代码。
 
9月,日本首相安倍任期结束,日本执政的自民党将进行新一轮总裁选举,且此次使用到的恶意代码为URSNIF,该恶意代码以窃取数据为主要目的,由此或可猜测此次大面积感染事件有极大可能是为了收集公众对于政治选举态度的相关情报信息,且可能将从中筛选出高价值目标进行进一步扩大攻击。

恶意代码介绍

Excel Web Query(.iqy)可用于直接从网络下载数据到Excel中,构造此类型恶意文档的过程非常简单,但构造文档的功能非常强大。通常在打开.iqy文档时,会远程下载攻击者构造的脚本命令,该脚本通过Excel启用并执行下载安装远程控制工具实现感染目标主机的目的。早在2015年国外安全研究员Casey Smith就指出了利用.iqy文档进行钓鱼攻击的潜在能力,直到今年5月底才陆续发现某些组织开始利用这种方式进行钓鱼攻击,已披露的攻击行动是今年6月15日、16日黑客组织DarkHydrus针对中东政府发起的钓鱼攻击利用了.iqy附件的方式下载安装远控恶意代码FlawedAmmyy。

此次针对日本大规模的钓鱼攻击利用.iqy文档下载安装的远控恶意代码为URSNIF,该恶意代码以窃取数据出名,在这之前该恶意代码一直针对银行进行攻击,此次大面积的钓鱼攻击可见攻击者的目的在于收集广泛的相关信息,且可能希望从中筛选出高价值目标或进行进一步的攻击行为。

恶意代码危害

此次爆发的恶意代码事件针对性较强,在短短数日之内垃圾邮件数量在日本达到了290,000封,且采用了不常见的.iqy文档附件方式进行传播,而不是之前常见利用0day的word文档附件的方式进行传播,利用了用户对.iqy文档扩展名不熟悉的特点,用户点击附件后便会直接启动Excel,然后将尝试下载远程的脚本命令并执行。 
 
 
图1 IQY附件攻击流程
但在这个过程中会出现两次警告,第一次提示是否启用数据连接,用户点击启用后又会弹出第二个警告提示,提示用户是否启动应用程序,如果用户在两次警告中都放行了可疑行为,就会执行远程脚本内容,最终下载安装指定的恶意代码。(示例中使用了构造的简单样本,脚本内容为打开计算器)
 
图2 第一次警告提示 
 
图3 第二次警告提示 
 
图4 执行远程服务器脚本内容
 

恶意代码危害

通过大规模垃圾邮件附件.iqy文档的形式诱导用户打开附件,最终下载安装远控恶意代码URSNIF。

恶意代码详细分析

详情见URSNIF木马分析 ,获取详细分析报告请联系virus@jiangmin.com

处理方案

修改后缀名为.iqy类型文件的默认打开方式:
桌面创建.txt文件,修改后缀名为.iqy,右击进入“属性”,点击“打开方式”标签旁的“更改(C)”。                                             
2. 选择打开该类型文件的默认打开应用为记事本,此后双击该类型文档就会以记事本方式打开文件,从而阻止攻击者的恶意行为。