Excel IQY Attack: nova ameaça burla sistema antivirus

Os criadores do botnet “Necrus” criaram novo ataque usando arquivos Excel Web Query (.iqy) para burlar softwares de antivirus e enganar os usuários para que baixem e executem scripts maliciosos.
Os arquivos Excel Web Query (.iqy) são arquivos simples baseados em texto, que são abertos por padrão e são usados para baixar dados de uma fonte remota diretamente no Excel.
Os arquivos .iqy usados nessa ameaça baixam um script do PowerShell, que é lançado via Excel e inicializa uma série de downloads maliciosos.
Essa ameça consegue ignorar os antivírus, por não conter um conteúdo malicioso e pode ser usada para instalar trojans de acesso remoto (RAT), conhecidos como FlawedAmmy. O trojan é baseado no código fonte vazado de um software remoto que já houve caso de ransomware envolvido, que é o Ammyy Admin.
Esse sistema de acesso remoto (RAT) dá ao invasor acesso completo sobre as máquinas infectadas, permitindo que o hacker faça qualquer coisa nela, desde roubo de informações, até mesmo envio de mais emails com a ameaça sobre a lista de contatos do proprietário do equipamento.
Principais tópicos deste artigo
Por padrão, esse ataque usando o FlawedAmmyy faz download de arquivo criptografado contendo as principais rotinas backdoor, mas essa ação pode ser alterada.
O Microsoft Office está configurado para bloquear conteúdo externo por padrão, o que significa que, quando o Excel for iniciado, os usuários receberão um aviso, mas muito deles escolhem ignorar os avisos, permitindo dessa forma a atuação do código malicioso e com isso, inicia-se o download do conteúdo.
Segue abaixo email com o exemplo do ataque:

Conheça a melhor solução de proteção de e-mail
Veja como a HSC Labs melhorou a segurança de e-mail do MP-Bahia

Treine a sua equipe em cibersegurança