NECURS, LA PIU’ GRANDE BOTNET DI SPAM AL MONDO
HA VEICOLATO FILE QUERY (IQY) PER BYPASSARE LE PROTEZIONI
Che le minacce ai nostri dati digitali, e quindi al business, aumentino di giorno in giorno diventando sempre più sofisticate e subdole è un pezzo che lo stiamo dicendo. E quanto stiamo rilevando in questi giorni lo sta dimostrando, i criminali infatti, cercano e trovano sempre con grande inventiva, nuovi metodi per eludere le protezioni tecnologiche che le aziende implementano.
Giusto pochi giorni fa abbiamo condiviso sui canali social la notizia di ZeroFont, il trucco utilizzato dai criminali per sfuggire ai moderni sistemi antispam di Office 365. Inserendo nel testo di una email dei caratteri con dimensione uguale a zero, l’utente vedrebbe solo determinate parole (che al filtro antispam suonerebbero pericolose) mentre il filtro antispam vedrebbe tutte le parole che a quel punto renderebbero legittima l’email e il filtro non la bloccherebbe. A quel punto solo la capacità dell’utente, nel capire che si tratta di una mail di phishing, non metterebbe in pericolo i suoi dati e quelli dell’azienda.
E’ del 22 giugno, invece, la notizia diramata da Trend Micro di una nuova tecnica utilizzata dai criminali per veicolare malware, infettare e prendere il controllo delle macchine delle vittime, attraverso l’utilizzo dei file definiti Excel Web Query (.iqy). Gli IQY sono file poco conosciuti dalla maggior parte degli utenti e servono per scaricare da Internet determinati dati direttamente in Excel.
Sono file molto semplici, di poche righe, ma molto potenti, fino ad ora sempre utilizzati in modo legittimo, anche se potenzialmente il rischio era stato evidenziato dagli esperti, e quindi ritenuti “innocui” per i sistemi di sicurezza. Invece ora i criminali hanno dato origine per la prima volta ad una vasta campagna di Spam utilizzando questi file, i quali scaricano uno script PowerShell che viene avviato tramite Excel e che dà origine ad una serie di download dannosi.
Sembra che sia stata proprio la Botnet Necurs, ritenuta attualmente la più grande rete malevola di Spam ed inattiva da parecchi mesi, ad essere stata riattivata attraverso l’utilizzo dei file Query IQY, e questo proprio per evadere le moderne soluzioni di sicurezza nelle recenti campagne di spam. Il malware che viene scaricato è un Trojan di accesso remoto (RAT) chiamato FlawedAmmyy, creato dal codice sorgente trapelato dal software legittimo di accesso remoto Ammyy Admin. Ed infatti la caratteristica di questo malware è proprio quella di permettere ad un malintenzionato di prendere il controllo della macchina infetta.
Gli utenti ricevono la classica email di spam, la quale riporta nell’oggetto e come nome del file allegato (.iqy) termini che si riferiscono a promozioni di vendita, offerte, sconti, ma anche le parole “Fattura non pagata”, “Invio fattura”, etc.
Foto tratta dall’avviso di Trend Micro
L’estensione del file allegato (.iqy), i termini perentori della email e il fatto che l’anti-malware potrebbe non aver individuato la pericolosità di quel file, portano l’utente ad aprire l’allegato. A quel punto si apre Excel il quale avvisa l’utente che potrebbero esserci problemi di sicurezza nella sua apertura. Per i motivi visti sopra, e la poca formazione degli utenti su questi rischi, l’apertura viene autorizzata. A quel punto un altro pop-up viene mostrato all’utente, pop-up che avvisa che dovrà essere aperta un’altra applicazione (come abbiamo visto sopra viene utilizzata la PowerShell di Microsoft). A quel punto l’utente ha ancora una possibilità per salvarsi, qualora invece accettasse allora il suo computer si infetterebbe.
Foto tratta dall’avviso di Trend Micro
Inutile ricordare che un computer della rete aziendale che si trovasse sotto il controllo di un criminale, potrebbe permettere con relativa semplicità il “salto” del criminale da quel computer anche agli altri della rete (compresi server e tutto ciò che alla rete è collegato, in gergo si definisce tale attività Pivoting).
Tra gli indicatori di compromissione Trend Micro fornisce la seguente tabella con i nomi delle minacce ed il loro valore identificativo unico crittografico SHA-256s.
Trend Micro riferisce che le soluzioni endpoint di sicurezza Trend Micro Smart Protection Suite, Worry-Free ™ Business Security e Trend Micro Deep Discovery ™, se aggiornate, proteggono da questa minaccia in quanto rilevano i file dannosi e bloccano gli URL malevoli.
In ogni caso consigliamo caldamente di non aprire mai file con estensione .IQY o qualsiasi altra estensione non conosciuta e soprattutto se l’email che li contengono non sono attese. Diffidate sempre anche delle mail che utilizzano termini perentori e promettano regali e sconti. Ricordiamo che come nella vita “fisica”, anche in quella “digitale” nessuno ci regala nulla senza voler qualcosa in cambio.