Một chiến dịch spam mới đã được phát hiện khi phân phối Buran Ransomware thông qua các tệp đính kèm tệp IQY. Khi được mở, các tệp đính kèm Microsoft Excel Web Query này sẽ thực thi một lệnh từ xa để cài đặt phần mềm ransomware vào máy tính của nạn nhân.
Một chiến dịch malspam mới được phát hiện bởi nhà nghiên cứu bảo mật Liên kết đáng ngờ giả vờ là một fwd đơn giản của một email trước đó nói rằng người dùng nên "In tài liệu đính kèm".
Tài liệu đính kèm này là một tệp IQY mà khi mở sẽ thực hiện truy vấn web hoặc lệnh từ xa, được cung cấp bởi một máy chủ từ xa sử dụng PowerShell để cài đặt Buran Ransomware.
Đối với những người không quen thuộc với các tệp IQY, chúng là các tài liệu Truy vấn Web Excel mà khi mở sẽ cố gắng nhập dữ liệu vào một bảng tính bằng các nguồn bên ngoài. Ví dụ, như được hiển thị bên dưới, tệp IQY đính kèm chỉ đơn giản là một tệp văn bản chỉ định dữ liệu của nó sẽ đến từ web và được truy xuất từ URL được liệt kê.
Vấn đề là dữ liệu được trả về từ nguồn bên ngoài cũng có thể là một công thức sau đó được Excel thực thi khi tệp IQY được mở. Trong trường hợp cụ thể này, công thức sẽ khởi chạy lệnh PowerShell tải xuống tệp thực thi Buran Ransomware từ xa có tên 1.exe, lưu nó vào thư mục Temp và sau đó thực thi nó.
Giống như các macro độc hại, trước tiên người dùng cần kích hoạt nguồn dữ liệu, nhưng như chúng ta đã thấy với các chiến dịch spam khác, quá nhiều người nhấp chuột vào nút Bật.
Nếu người dùng nhấp vào Bật, 1Tập tin .exe sẽ được tải xuống và thực thi, sẽ bắt đầu mã hóa các tập tin trên máy tính.
Trong mỗi thư mục tệp được mã hóa, một ghi chú tiền chuộc có tên !!! TẤT CẢ CÁC PHIM CỦA BẠN ĐƯỢC ENCRYPTED !!!. TXT sẽ được tạo để yêu cầu nạn nhân liên hệ với [email protected] hoặc [email protected] để được hướng dẫn thanh toán.
Tôi thấy thật mỉa mai khi những kẻ tấn công ransomware đưa ra cảnh báo này để cảnh giác với những kẻ lừa đảo (chúng không sai!), Những kẻ cố gắng lừa đảo nạn nhân bằng những lời hứa giải mã giả:
"Giải mã các tệp của bạn với sự trợ giúp của bên thứ ba có thể khiến giá tăng (họ thêm phí của họ vào chúng tôi) hoặc bạn có thể trở thành nạn nhân của một trò lừa đảo."
Thật không may, tại thời điểm này không có cách nào để giải mã các tệp được mã hóa bởi Buran miễn phí.
Người dùng nên chặn các tệp IQY
Đây không phải là lần đầu tiên chúng tôi thấy các chiến dịch email độc hại sử dụng các tệp IQY để cài đặt phần mềm độc hại.
Năm 2018, chúng tôi cũng đã thấy các Truy vấn Web được sử dụng để cài đặt các RAT như chương trình Quản trị viên AMMYY và phần mềm độc hại Marap và Quant Loader trong chiến dịch Necurs.
Do khả năng thực thi hầu hết mọi lệnh trên máy tính của nạn nhân, Microsoft đã chặn các tệp IQY thông qua Outlook trên Web và cho phép chặn các tệp IQY IQ Query không đáng tin cậy trong Windows thông qua chính sách nhóm.
Người dùng cũng có thể tự chặn các tệp IQY mà không cần sự trợ giúp của quản trị viên bằng cách thực hiện theo các lệnh sau trong Excel:
• Trong Excel, nhấp vào Tập tin chuyển hướng.
• Nhấp chuột Tùy chọn > Trung tâm Tin tưởng > Cài đặt Trung tâm Tin cậyvà sau đó nhấp Nội dung bên ngoài.
• Kiểm tra 'Aluôn chặn kết nối của các tệp Microsoft Query không tin cậy (.iqy, .oqy, .dqy và .rqy) '
Trừ khi bạn đặc biệt cần quyền truy cập vào các loại tệp này, chúng tôi khuyên bạn nên chặn Truy vấn Web Excel qua GPO hoặc các bước trên.