はじめに
.iqyという聞き慣れない拡張子を持つウィルスメールが流行っているそうなので調べてみました。
.iqy ファイルとは
iqyは「Internet Inquiry File」の略。
エクセルで「Webクエリ」という機能を使うと生成される、中身はURLが書かれているテキストファイルです。
Webクエリ機能自体はだいぶ昔(Excel97くらい)から実装されているらしく、web上にあるテーブルを取り込んでエクセルに貼り付けてくれるものです。
・・・便利だ。。知らなかった。。
.iqyファイルのフォーマットは以下
1行目はWEB(固定)(省略可能)
2行目は1(固定)(省略可能)
3行目はURL
4行目以降は3行目が200文字を超える場合に使用する。
.iqyファイルをダブルクリックして実行するとエクセルが起動しますが、データ接続をしてもよいかの問い合わせダイアログが表示され、OK押下でWEBにアクセスし、データをエクセルに表示しています。
さて、これがどのように攻撃につながるのでしょうか。。
攻撃手法
【トレンドマイクロ】拡張子”.iqy”のファイルとは?1 日でメール 29 万通が日本国内に拡散
.iqyファイルを添付したメールを送付、.iqyファイルを開くと最終的にバンキングマルウェア「Ursnif」に感染する。という攻撃が流行っているそうです。
【はてな】『ご請求額の通知』『インボイス』『プロジェクト』『写真』『支払い』『文書』『請求・支払データ』『資料』の調査
検体を解析した情報が載っています。
- .iqyファイルを開くとまず攻撃コードをダウンロードします。
- 攻撃コードには
=CMD|'/C PoWerSHeLL ...
と、エクセルからコマンドプロンプトを起動し、PowerShellを更に起動しています。
感想
うまいことやりますね。。なるほど〜と感心しました。
エクセルの方では .iqy ファイルを開くときに注意ダイアログが、コマンドプロンプトを開くときに更に注意ダイアログが表示されるので、たぶん感染する人はだいぶ少ないのではないかと思います。
参考
【INTERNET Watch】拡張子「.iqy」の添付ファイルに注意! ウイルス感染狙うメールが1日だけで29万件も拡散
【トレンドマイクロ】拡張子”.iqy”のファイルとは?1 日でメール 29 万通が日本国内に拡散
【はてな】『ご請求額の通知』『インボイス』『プロジェクト』『写真』『支払い』『文書』『請求・支払データ』『資料』の調査
ウェブデータを有効活用!Excelの「Webクエリ」機能を使って自動取込する
履歴
2018/08/12 初版