IQY文件,传播恶意软件的最新方法

今年早些时候,僵尸网络在5个活动中分发了超过780,000封电子邮件,所有这些都包含武器化的IQY文件 - 这是传播恶意软件的最新方法。

对于在2017年最后一个季度负责全球60%垃圾邮件流量的僵尸网络来说,这数量是相当低的。

然而,在malspam活动中使用武器化的IQY文件是一个上升的趋势, 在3月25日首次发现 Necurs 使用这种类型的文件分发恶意软件。

IQY文件基本上是文本文档,可以包含用于将数据导入Excel电子表格的Web位置; 它们在企业网络中很常见,员工将其用于协作目的。它们本身不是威胁,但从外部源检索的信息可能包含恶意代码。

Microsoft Office不允许从IQY自动执行代码,并要求用户允许这样做。但精心设计的电子邮件可能会诱使用户在IQY文件中启用数据连接。

电子邮件发送超过一个半月

IBM X-Force捕获了780,000封电子邮件,这些电子邮件是在5月下旬到7月中旬之间运行的武器化IQY文件。

据研究人员观察,Necurs垃圾邮件工厂于5月25日发送了超过300,000条消息。6月7日的第二次活动发送了大约200,000封电子邮件。

这些数字在下一次垃圾邮件爆发中逐渐减少,6月13日发送的电子邮件超过150,000封,7月13日发送的电子邮件数量不到10万封。最后一次活动是在7月17日录制的,是最数量最少的,分发的邮件少于50,000封。

一些电子邮件声称是未付款的发票,这是诱使受害者访问IQY文件内的URL的常用手段。

当连接被批准时,嵌入式URL提供了一个名为FlawedAmmyy RAT的远程访问工具,其源代码在3月份泄露。

Necurs提供的其他恶意软件包括MarapQuant Loader,这两个下载程序可以汇集各种类型的威胁。

网络犯罪分子一直希望通过使用通常被忽视为潜在威胁的文件类型来改变他们的策略。

“为了确保他们的恶意电子邮件能够通过电子邮件过滤器阻止接收者,并且不会被电子邮件过滤器阻止,网络犯罪团体一直在改变他们的策略,全年提供多种类型的诱惑类文件,”X-Force研究人员指出。

  • 发表于:
  • 原文链接:https://www.bleepingcomputer.com/news/security/necurs-spews-780-000-emails-with-weaponized-iqy-files/

扫码关注云+社区

领取腾讯云代金券