Une nouvelle campagne de spam a été identifiée. Elle utilise des fichiers Excel Web Query pour envoyer des malwares.

Dans ce cas, les fichiers avec une extension IQY (.iqy) sont utilisés pour lancer des scripts PowerShell, donnant aux attaquants l’accès root à un périphérique.

Les fichiers .iqy ne sont généralement pas bloqués par des filtres antispam, ce qui rend la technique efficace pour la diffusion silencieuse de malwares.

Les spams sont envoyés via le botnet Necurs. Barkly a détecté trois campagnes de spam utilisant ces pièces jointes, mais il est fort probable que d’autres campagnes seront lancées.

Les fichiers Excel Web Query obtiennent des données d’une source externe et les chargent dans Excel. Dans ce cas, les données externes se présentent comme une formule exécutable dans Excel.

La formule est utilisée pour exécuter des scripts PowerShell qui, dans au moins une campagne, téléchargent un Cheval de Troie d’accès distant (RAT) appelé FlawedAmmyyy Admin.

Comment fonctionne cette nouvelle campagne de spam via des fichiers Excel Web Query

Il s’agit d’un outil d’administration à distance légitime (AMMYY Admin) modifié qui permet à l’attaquant de contrôler complètement un ordinateur et d’installer de nombreux programmes malveillants.

Dans bien des cas, les emails se font passer pour des bons de commande, des factures impayées et des documents scannés.

Ce sont des thèmes courants utilisés dans les emails non sollicités pour livrer des malwares. Les campagnes de spam utilisent souvent des documents Word avec des macros malveillantes.

Les macros sont généralement désactivées par défaut. Grâce à une formation de sensibilisation à la sécurité, les utilisateurs finaux peuvent être avisés de ne pas activer les macros sur les documents provenant d’expéditeurs inconnus.

Ceci permet d’empêcher le téléchargement de malwares.

Cependant, la plupart des utilisateurs finaux ne seront pas habitués à recevoir des fichiers .iqy, ces pièces jointes devraient donc éveiller les soupçons.

Microsoft a déjà intégré des avertissements pour empêcher ces fichiers d’être exécutés par les utilisateurs finaux.

Ainsi, si un utilisateur final tente d’en ouvrir un, cela déclenche un avertissement, prévenant que le fichier peut ne pas être sûr, car il permet une connexion externe.

L’utilisateur devra cliquer sur « enable » avant que la connexion ne soit établie et que les données ne soient extraites dans Excel. Un deuxième message d’avertissement s’afficherait alors, nécessitant encore une fois une autorisation.

Le script ne pourra donc s’exécuter et télécharger la charge utile malveillante que si l’utilisateur ignore ces deux avertissements.

Vous pouvez prendre deux mesures pour protéger vos terminaux et vos réseaux contre ce type d’attaque.

La première est de configurer votre filtre antispam pour mettre en quarantaine tous les emails contenant des pièces jointes avec une extension IQY.

SpamTitan permet de bloquer certains types de pièces jointes comme les fichiers exécutables et les fichiers .iqy. Grâce à cette solution, vous pouvez définir la politique de quarantaine, de rejet ou de suppression des emails.

Etant donné que ces types de fichiers ne sont généralement pas envoyés via la messagerie électronique, le rejet ou la suppression des messages est donc l’option la plus sûre.

Vous devriez également intégrer la façon d’utiliser ces fichiers dans vos séances de formation de sensibilisation à la sécurité et envisager d’envoyer une alerte par email aux utilisateurs finaux pour les avertir de la menace.

Contactez l’équipe de TitanHQ pour protéger vos messageries électroniques des malwares

Vous trouverez de plus amples informations sur les mesures que vous pouvez prendre afin de prévenir la propagation d’infections par des malwares via la messagerie électronique sur notre page de conseils antispam.

Si vous voulez en savoir plus sur les capacités de SpamTitan, vous pouvez appeler notre équipe de vente :

USA : +1 5859735070

Royaume-Uni/UE : +44 (0)2476993640

Irlande : +353 91 545555

Moyen-Orient : +971 4 3886998