Excel IQY Attack

Os criadores do botnet “Necrus” criaram novo ataque usando arquivos Excel Web Query (.iqy) para burlar softwares de antivirus e enganar os usuários para que baixem e executem scripts maliciosos.

Os arquivos Excel Web Query (.iqy) são arquivos simples baseados em texto, que são abertos por padrão e são usados para baixar dados de uma fonte remota diretamente no Excel.

Os arquivos .iqy usados nessa ameaça baixam um script do PowerShell, que é lançado via Excel e inicializa uma série de downloads maliciosos.

Essa ameça consegue ignorar os antivírus, por não conter um conteúdo malicioso e pode ser usada para instalar trojans de acesso remoto (RAT), conhecidos como FlawedAmmy. O trojan é baseado no código fonte vazado de um software remoto que já houve caso de ransomware envolvido, que é o Ammyy Admin.

Esse sistema de acesso remoto (RAT) dá ao invasor acesso completo sobre as máquinas infectadas, permitindo que o hacker faça qualquer coisa nela, desde roubo de informações, até mesmo envio de mais emails com a ameaça sobre a lista de contatos do proprietário do equipamento.

Por padrão, esse ataque usando o FlawedAmmyy faz download de arquivo criptografado contendo as principais rotinas backdoor, mas essa ação pode ser alterada.

O Microsoft Office está configurado para bloquear conteúdo externo por padrão, o que significa que, quando o Excel for iniciado, os usuários receberão um aviso, mas muito deles escolhem ignorar os avisos, permitindo dessa forma a atuação do código malicioso e com isso, inicia-se o download do conteúdo.
Segue abaixo email com o exemplo do ataque: