O cibercriminosos andam agora a usar ficheiros IQY, basicamente ficheiros de queries para a internet, como uma ferramenta de backdoor para conceder acesso remoto ao atacante.

Este malware tem como alvo o setor bancário e a indústria automóvel.

Como se propaga?

Este malware pode propagar-se por via de spam ou spear phishing, que consiste numa campanha de email com um ficheiro PDF ou IQY. O corpo da mensagem pede à vítima para clicar e abrir o ficheiro PDF em anexo, fazendo "drop" do ficheiro IQY embutido.

Mas não é apenas o ficheiro em PDF que faz o trabalho, há um script que exporta os ficheiros IQY do PDF através de uma função designada por "exportDataObject", e o processo de exportação continua através da apresentação de uma caixa de diálogo ao utilizador para "abrir ficheiro".

Assim que o utilizador clica no Ok, o ficheiro é aberto noutros ficheiros .iqy, fazendo com que o conteúdo do URL no ficheiro seja devolvido. Contudo, há um pormenor: as verificações de segurança devem estar ativas. Portanto, a partir daí, dadas estas condições, é depois aberto um processo em Powershell.

O que o Powershell irá fazer é o download de ficheiros executáveis, e executar o backdoor, que a partir daí irá desencadear diversas atividades maliciosas, onde se inclui permitir que o atacante tenha acesso remoto à máquina, gestão de ficheiros e captura de ecrã.

Se quiseres saber mais sobre este malware, podes consultar este link: https://www.2-spyware.com/new-flawed-ammyy-rat-infects-computers-via-spam-campaign