Campagne di Attacco con allegati “.iqy” e “.slk”

Proto: N070518.

Con la presente Yoroi desidera informarLa riguardo al recente rilevamento di campagne di attacco caratterizzate dall’utilizzo di email fraudolente contenenti allegati con estensioni non comuni come file  “.iqy”  e  “.slk”, volti all’installazione di famiglie malware di tipologia Trojan/RAT/Backdoor. Nello specifico, alcuni attacchi sono stati identificati in-the-wild da terze parti nelle precedenti settimane, mentre negli ultimi giorni sono stati direttamente osservati attacchi rivolti ad organizzazioni italiane.


La pericolosità di queste tecniche di attacco risiede nell’utilizzo di appositi file di tipo testuale caratterizzati da particolari estensioni che, per ragioni storiche o legate a funzionalità di nicchia, vengono aperte automaticamente da comuni applicativi come Microsoft Excel.

 
Figura 1. Esempio visualizzazione di file .iqy e .slk


Negli attacchi osservati gli allegati presentano al loro interno la capacità di scaricare ed eseguire ulteriori file malevoli reperiti da destinazioni remote, previa conferma da parte dell’utente in relazione a generiche “richieste di abilitazione di connessioni dati” similari alla schermata sotto riportata:




Figura 2. Richiesta di abilitazione connessioni esterne presentata all’utente


Siccome la tecnica di attacco non risulta al momento estensivamente coperta dai sistemi perimetrali, Yoroi consiglia di valutare l’aggiornamento delle vostre liste di blocco applicate alle tipologie di file allegati ai messaggi di posta, includendo queste ultime estensioni qualora non utilizzate all’interno dei Vostri tipici flussi comunicativi. In aggiunta, risulta possibile disabilitare il supporto a questi file a livello di applicativo Office attraverso le impostazioni di blocco file del Trust Center Microsoft (rif. DatabaseandDatasourceFiles, DifandSylkFiles).

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index