Valppautta laskujen kanssa, liitetiedoston mukana leviää haittaohjelma

Etäkäytön mahdollistava haittaohjelma leviää maksamattomaan laskuun viittaavan .iqy -päätteisen liitetiedoston mukana. Sähköpostin lähettäjätiedot on väärennetty siten, että posti näyttää tulevan samasta organisaatiosta kuin vastaanottaja. Kyberturvallisuuskeskus suosittelee, että liitetiedostoihin, joiden sisältöä ei tiedetä, suhtaudutaan varovaisesti.

Viestintäviraston Kyberturvallisuuskeskus on saanut useita ilmoituksia sähköpostin liitetiedostona levitettävästä haittaohjelmasta. Sähköpostin otsikko viittaa maksamattomaan laskuun, esimerkiksi "Unpaid invoice ID: xxxxxxxxx", jossa xxxxxxxxx on satunnainen numerosarja. Sähköpostin lähettäjätiedot on väärennetty siten, että posti näyttää tulevan samasta organisaatiosta kuin vastaanottaja.

Kyberturvallisuuskeskuksen analyysin mukaan sähköpostin liitteenä on ollut .iqy -päätteinen liitetiedosto, jonka sisällä on linkki. Tiedostot, jotka päättyvät .iqy, avautuvat oletuksena Excelissä. Excelin asetuksista riippuen käyttäjä saattaa saada varoituksen ennen kuin Excel käy lataamasa sisältöä verkosta.

Jos Excel pääsee lataamaan sisällön .iqy -päätteisen tiedoston osoittamasta osoitteesta, tietokoneelle asentuu niin sanottu dropper -haittaohjelma. Dropper käy hakemassa komentopalvelimelta varsinaisen haittaohjelman ja sen tiedetään ladanneen ainakin Flawed Ammy RAT -haittaohjelmaa, joka mahdollistaa saastuneen tietokoneen etäkäytön.

Haittaohjelman havaitseminen verkkoliikenteestä

Verkko-osoite, josta sähköpostikampanjassa levitetty .IQY tiedosto ohjaa Excelin hakemaan haittaohjelman on (huom! osoite muutettu hxxp-muotoon):

hxxp://clodflarechk.com

Käynnistyttyään haittaohjelma yrittää liikennöidä osoitteisiin:

85.119.150.29:80
103.208.86.69:443
Organisaatioiden kannattaa tarkastaa, onko kyseinen verkkotunnuksesta tehty nimipalvelukysely (resolvoitu) ja onko kyseisiin osoitteisiin ollut TCP-liikennettä.

Suositellut toimenpiteet

Kyberturvallisuuskeskus suosittelee, että liitetiedostoihin, joiden sisältöä ei tiedetä, suhtaudutaan varovaisesti. Erityisesti pakattuja zip-tiedostoja tai muita englanninkielisiä tai huonolla suomenkielellä tehtyjä liitetiedostoja sisältäviä liitteitä ei pidä avata, ellei voi olla varma niiden lähettäjästä.

Lisätietoa:

* Necurs delivering Flawed Ammy RAT via IQY Excel Web Query files

* Microsoftin ohje Office-ohjelmien asetusten koventamisesta Trust Centerin avulla


Päivityshistoria

Asiasanat: Tietoturva , Haittaohjelma , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248