利用 Excel 觸發惡意行為的郵件正在散佈! 2018-05-29

近期 ASRC 蜜罐收到一系列主旨為 “Unpaid invoice[ID:隨機數字]” 的信件,其中都夾帶了副檔名為 IQY 的檔案。 ASRC 進一步分析發現,惡意信件所夾帶的 IQY 附檔本體不含惡意行為,因此可輕鬆規避防毒軟體的檢查。不過危險性相當高,若不慎執行,則電腦可能會被植入 Flawed Ammy RAT 後門。


部分信件資訊截圖



IQY 為 Microsoft Excel 所使用的 Web 查詢設定檔,Excel 讀取該檔後會連向指定的網址取得資料。由於 IQY 為純文字格式,預設的檔案開啟程式又是 Excel,攻擊者便利用這個特性,將惡意的網址寫入 IQY 檔,欺騙使用者開啟檔案後連外取得惡意程式回來執行。更有甚者,IQY 的純文字內容並不含有惡意行為,因此也能有效規避防毒軟體的檢查。


使用文字編輯器觀察 IQY 檔,可看到指向的惡意網址



取回的 2.dat 會透過 PowerShell.exe 執行另一段下載指令



最後再透過 PowerShell.exe 直接執行指令檔,下載最終的 EXE 檔並執行


若是 Excel 有較安全的連線設定則可以不必太擔心。若使用者不慎執行了 IQY 檔,Excel 也會出現提示,向使用者確認是否真的要執行程式,此時應立即停用拒絕執行!


Excel 安全性問題提示,此時應立即停用拒絕執行!



上一則 回到列表   下一則