تروجان خطرناک جدیدی در قالب فایلهای IQY مربوط به اکسل در حال گسترش است.
منبع : مرکز مدیریت راهبردی افتا ریاست جمهوری
تروجان خطرناک جدیدی در قالب فایلهای IQY مربوط به اکسل در حال گسترش است.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، باتنت Necurs در حال انجام حملات اسپمی است که از فایلهای پیوستی Excel Web Query (.IQY) برای مخفی ماندن از شناسایی آنتیویروسها استفاده میکند. در صورت موفقیتآمیز بودن، یک تروجان با دسترسی از راه دور (RAT) با نام FlawedAmmyy به سیستم قربانی منتقل خواهدکرد. از آنجایی که تاکنون فایلهای IQY در حملات استفاده نشدهبودند، نرمافزارهای آنتیویروس آنها را بررسی نمیکنند.
فایل آلوده IQY پس از باز شدن، توسط نرمافزار اکسل اجرا میشود و شروع به دانلود PowerShell میکند. به گفته پژوهشگران، قابلیت باز شدن فایلهای IQY توسط اکسل و دانلود فایل از اینترنت باعث میشود که اینگونه فایلها بسیار خطرناک تلقی شوند.
این حملات از طریق ارسال ایمیل به کاربران صنعت خودرو انجام میشود و همچنین به عامل تهدید TA۵۰۵ که طی ۴ سال گذشته فعال بوده است مرتبط است.
این بدافزار دسترسی کامل به سیستم قربانی پیدا میکند که به آن اجازه میدهد تا فایلها و اطلاعات احرازهویت را برباید و از سیستم برای ارسال ایمیل اسپم استفاده کند که البته این بخشی از عملیات مخرب صورت گرفته توسط این بدافزار است.
تحلیلهای صورتگرفته توسط Cisco Talos نشان میدهد که این بدافزار از طریق بزرگترین باتاسپم انجام گرفتهاست، بهطوری که بین ماههای آگوست و نوامبر سال گذشته، بیش از ۲,۱ میلیون پیام اسپم از ۱.۲ آدرس آیپی مستقل در بیش از ۲۰۰ کشور ارسال شدهاست.
کاربران باید برای جلوگیری از نفوذ این بدافزار، گزینه تایید استفاده از ماکرو در نرمافزار اکسل برای فایلهای IQY را کلیک نکنند. همچنین مدیران سیستمی باید در تنظیمات فایروال، فایلهای IQY را در ایمیلها فیلتر کنند. علاوه بر این، میتوان ویندوز را طوری تنظیم کرد که بهطور پیش فرض این گونه فایلها ابتدا با نرمافزار notepad باز شوند.