Скрыть приветствие

[?]

А ещё есть бесплатный VPN, без авторизации, логов и ограничений:

  1. Для добавления новости, воспользуйтесь этой формой.
Скрыть объявление
Подписывайся на наш канал в Телеграм!
Каждый день форум постит туда самую популярную тему! Последняя информация о работе форума и новости сначала появляются там!
А ты подписался?
Скрыть объявление
Создай своё зеркало девсайда!
Привяжи к форуму свой домен, раздай его друзьям и ты будешь иметь доступ к форуму даже если нас заблокирует роскомнадзор!
А ты обезопасился?
Скрыть объявление
Не нашел то что искал?
Создай запрос на поиск материала

Мы и сотни других пользователей попробуем найти то что ты ищешь!

 Спамеры используют файлы IQY для обхода почтовых фильтров

Тема в разделе "Информационная безопасность", создана пользователем News_Bot, 10 июн 2018.

От News_Bot 10 июн 2018 в 23:11
  1. Спамеры используют файлы IQY для обхода почтовых фильтров
    [​IMG]


    Специалисты компании Barkly предупреждают, что спамеры стали использовать файлы IQY (Internet Query), чтобы обманывать почтовые спам-фильтры.

    При открытии такие файлы пытаются подгрузить данные из удаленного источника, причем полученная информация может быть и формулой Excel, которую программа выполнит после получения. Именно этим и пользуются злоумышленники: формулы используются для локального запуска скриптов PowerShell, которые отвечают за скачивание и загрузку AMMYY Admin в систему жертвы. Хотя AMMYY Admin — это легитимный инструмент для удаленного администрирования, злоумышленники используют его для неавторизованного доступа к системам своих жертв.

    По данным исследователей, в настоящее время активны сразу три спамерские кампании, использующие данную методику. Распространение вредоносных почтовых вложений IQY впервые было обнаружено 25 мая 2018 года.

    Журналисты BleepingComputer пишут, что спамеры традиционно маскируют свои послания под отсканированные документы, формуляры различных заказов или неоплаченных счетов. Все такие письма, содержат во вложении файлы IQY.

    [​IMG]

    Создать такой вредоносный файл очень легко. В сущности, IQY – это текстовый файл, содержащий всего несколько строк с указанием адреса источника и его типа, а также ряд параметров, определяющих такие настройки, как частота запросов и интервал обновления. Во время открытия файла Excel считывает эти настройки и пытается установить соединение с указанным источником, чтобы импортировать данные.

    Как уже было сказано выше, внешний источник может вернуть Excel формулу, которая должна быть выполнена. К примеру, эксплоит для запуска калькулятора (calc.exe) таким способом, будет выглядеть очень просто и может быть создан с помощью обычного «Блокнота»:

    [​IMG]

    Запросив файл test.txt, Excel получит в ответ следующую формулу:

    =cmd|' /c C:WindowsSystem32calc.exe'!A0

    После этого на машине будет запущен калькулятор.

    К счастью для пользователей, во время открытия файлов IQY Excel неоднократно предупреждает о потенциальной опасности и спрашивает подтверждение. Так, сначала программа уведомляет о том, что некие данные будут загружены из удаленного источника, и позволяет запретить это.

    [​IMG]

    Если пользователь все же разрешил обратиться к удаленному источнику, Excel предупредит жертву еще раз, на этот раз сообщив, что будет запущено еще одно приложение. Пользователю вновь дадут возможность запретить программе это действие: достаточно просто нажать на кнопку «Нет».

    [​IMG]

    К сожалению, исследователи Barkly и BleepingComputer отмечают, что пользователи попросту игнорируют такие предупреждения и не читают написанного вовсе, не глядя разрешая ПО выполнить опасные действия. Увы, именно по этой причине спам-кампании, подобные распространяющим файлы IQY, по-прежнему используются злоумышленниками и даже показывают себя эффективными.
     

    Загрузка...

Комментарии

Тема в разделе "Информационная безопасность", создана пользователем News_Bot, 10 июн 2018.

  • Кто мы?

    2 разработчика которые решили помочь другим разработчикам в решении их проблем, а так же пользователям с поиском самых свежих и качественных инфопродуктов. За 4 с небольшим месяца мы создали этот форум на который заходят ежедневно 1500 человек и посещаемость постоянно растёт. Мы создали панель лицензирования для защиты PHP скриптов от воровства и SEO панель для мониторинга наших сайтов и выбора верной стратегии их развития. Мы надеемся что то что мы создали пригодится Вам и возможно Вы поможете нам развиваться и совершенствоваться вместе с Вами.
  • Приложения

  • Набираем команду!

    Мы набираем в нашу команду умных и амбициозных людей! Не важно в какой сфере Вы преуспели, Вы можете попасть в нашу команду и развивать с нами действительно достойный ресурс.

    Вступай!