Durante los últimos días se han registrado campañas de spam que distribuye a Buran a través de archivos adjuntos con extensión IQY. Al abrir estos archivos adjuntos de Microsoft Excel Web Query permite ejecutar comandos remotos que instalan el ransomware en la computadora de la víctima.
Como indicamos, este documento adjunto es un archivo IQY que cuando se abre ejecutará una consulta web o comando remoto, dado por un servidor remoto que usa PowerShell para instalar el ransomware Buran.
Los archivos IQY, son documentos de Excel Web Query que, cuando se abren, intentarán importar datos en una hoja de trabajo utilizando fuentes externas. en el cual se puede cargar un simple archivo de texto que especifica de dónde provendrán los datos, descargandolos desde la URL indicada.
El factor de riesgo está en que se ejecuta cuando se abre el archivo IQY. Es posible ejecutar un comando de PowerShell que descargue un ejecutable remoto de Buran Ransomware ofuscado, almacenado en una carpeta temporal para luego ser ejecutado.
Al igual que las macros maliciosas, los usuarios primero deben habilitar la fuente de datos, pero como se ha visto en varias campañas de malspam, un gran número de personas hacen clic en el botón Habilitar para visualizar el documento sin intervenciones. Lo que viene después es la infección de la máquina como tal.
En cada carpeta, se adjunta una nota de rescate llamada !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT que le dice a la víctima que se comunique con los ciberdelincuentes a través de las direcciones de correo stopcrypt@cock.email o decryptor@cock.email para recibir instrucciones del pago.
No es la primera vez que se ven campañas de correos electrónicos maliciosos que utilizan archivos IQY para instalar malware. En 2018, se descubrieron consultas web que se usaban para instalar RAT (Remote Access Trojan), como el programa AMMYY Admin y también el malware Marap y Quant Loader.
Debido a su capacidad para ejecutar casi cualquier comando en la computadora de una víctima, Microsoft ha bloqueado los archivos IQY a través de Outlook en la Web y ha permitido bloquear archivos IQY de Microsoft Query no confiables en Windows a través de políticas grupales. Los usuarios también pueden bloquear archivos IQY por su cuenta, sin la ayuda de un administrador, siguiendo estos comandos en Excel:
• En Excel, haga clic en la pestaña Archivo .
• Haga clic en Opciones > Centro de confianza > Configuración del Centro de confianza , y luego haga clic en Contenido externo .
• Marque la opción "Siempre bloquear la conexión de archivos de Microsoft Query no confiables (.iqy, .oqy, .dqy y .rqy)"
COMENTARIOS