Aanvallers gebruiken .IQY-bestanden in nieuwe spamcampagne

[Captain Kirk]

Onderzoekers hebben een nieuwe spamcampagne ontdekt waarbij aanvallers van .IQY-bestanden gebruikmaken om malware te verspreiden. IQY is het bestandstype voor Excel Web Query-bestanden. Het gaat hier om eenvoudige tekstbestanden met een url die wanneer in Excel geopend het opgegeven bestand kunnen downloaden.

Standaard moeten gebruikers hier echter toestemming voor geven. Bij de nu waargenomen aanvallen worden e-mails verstuurd die voor niet betaalde facturen waarschuwen. Zodra gebruikers de meegestuurde bijlage openen verschijnt er een waarschuwing van Excel dat dataverbindingen zijn geblokkeerd. Vervolgens laat Excel weten dat gebruikers de dataverbindingen alleen moeten toestaan als ze de bron vertrouwen.

Wanneer gebruikers in dit geval de verbindingen toestaan verschijnt er een nieuwe waarschuwing waarin toestemming wordt gevraagd om CMD.EXE te starten. Wanneer de gebruiker ook dit toestaat wordt er een remote acces trojan (RAT) op de computer geïnstalleerd waarmee de aanvaller volledige controle over het systeem krijgt, zo melden My Online Security en securitybedrijf Barkly. Standaard staat Microsoft Office ingesteld om dataverbindingen te blokkeren. Onlangs werd een soortgelijke spamaanval ontdekt waarbij SYLK-bestanden werden ingezet.

 

 

bron: security.nl