Necurs verteilt Flawed Ammyy RAT per Excel IQY-Dateien

Kurz vor dem US-Memorial-Day wurde eine neue Angriffsmethode des Botnetes Necurs bekannt. Dieses verteilte einen Remote Access Trojaner (Name: Flawed Ammy) per Excel Web Query und Internet Inquiry-Dateien.


Anzeige

RAT ist das Kürzel für Remote Access Trojaner und Necurs ist ein Botnet. Flawed Ammyy RAT ist ein Trojaner, der wohl aus einer legalen Software, der Ammy Admin Remote Desktop-Software Version 3 entwickelt wurde. In diesem Artikel findet sich ein Hinweis, dass der Trojaner per Mail verteilt wurde. Nun gibt es einen neuen Angriffsvektor, der über Query-Dateien läuft.

Die Site MyOnline-Security ist vorige Woche auf diese Angriffsmethode gestoßen. Das Necurs-Botnet versucht mit Hilfe von iqy-Dateien, bei denen es sich um Excel-Webabfragen und Internet-Anfragen handelt, den Trojaner zu verteilen. Und es gibt den Ansatz, das Gleiche per SYLK-Datei zu versuchen (siehe den Beitrag hier).

Bei den Dateien handelt es sich um eine einfache Textdateien mit einer URL, die beim Öffnen in Excel ("Standard für iqy-Dateien") alles herunterlädt, was sich am Ende der URL befindet. Dies ermöglicht es auch, Schadprogramme aus dem Internet zu laden, die möglicherweise von Antivirussoftware ignoriert wird, weil die Ausgangsdateien ja keine Schadfunktion enthalten.

Im konkreten Fall wird wohl Flawed Ammyy RAT über diese Query-Dateien aus dem Internet herunter geladen. Die Information samt findet sich in diesem Blog-Beitrag. Dort wird auch erläutert, dass man im Trust Center von Excel das Laden von solchen Dateien unterbinden kann. Aktuell kann ich das Risiko dieser Angriffsmethode nicht einschätzen. Administratoren in Firmenumgebungen sollten den Angriffsweg aber kennen und ggf. das Öffnen der Dateien unterbinden.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.