Soubory s příponou .iqy
Soubory s příponou IQY jsou obvykle nevinné a souvisí s Microsoft Excelem. Konkrétně jde o soubory "Excel Web Query" a jejich úkolem je dotáhnout pro Excel externí data ke zpracování. Data ke zpracování mohou bohužel obsahovat i funkce Excelu třeba pro spuštění programového kódu, v tomto případě škodlivého…
Pokud uživatel IQY soubor spustí, Microsoft Excel zobrazí několik varování. Pokud je uživatel ignoruje, dojde nejprve ke stažení "datového souboru" ze serveru útočníka a následně spuštění příkazů PowerShellu (funkce cmd) v něm obsažených. To vede k tomu, že se do počítače stáhne a zavede jakákoliv další havěť.
Možná si říkáte, že útoky, kde musí uživatel odklikat tolik varovných hlášek, nemohou být úspěšné. Omyl! Třeba úspěšné odrůdy havěti ransomware se šířily podobnou cestou. Skrze nevinně vypadající dokument Wordu (přípona .docx / .doc) taktéž s nutností odsouhlasit ze strany uživatele několik varování. Ke spuštění havěti se v takovém případě využívají makra.
A když už jsme u těch alternativních způsobech šíření motajících se okolo Microsoft Word / Microsoft Excel, neměl bych zapomenout ani na "kostlivce" DDE (Dynamic Data Exchange). Speciální pole vložené v textu dokumentu Wordu (DDEAUTO) dokáže zajistit, že ke spuštění škodlivého kódu dojde i bez použití maker. Pochopitelně opět po několika souhlasech uživatele. Pak hlášení vypadají nějak takto (zdroj):
https://www.securitysift.com/abusing-microsoft-office-dde/
Soubory s příponou .SettingContent-ms
Paradoxně byl tento "úlet" zaveden až do Windows 10. Výjimečně tak můžeme tvrdit, že majitelé starších verzí Windows jsou v bezpečí.
Soubor s příponou .SettingContent-ms je vlastně jen nenápadným zástupcem, který otevírá dialog s nastavením Windows (Windows Settings). Ač to podle přípony nevypadá, jde strukturou o XML soubor, který obsahuje i klíčový element <DeepLink>. V něm uvedenou cestu lze jednoduše zaměnit a místo nastavení Windows tak spustit jakýkoliv jiný EXE soubor. Útočníkům se pak nabízí zavolat rovnou PowerShell.exe a zřetězit několik příkazů od stažení havěti z internetu až po její spuštění!
Jelikož jde o relativně neznámou příponu, může být pro uživatele snazší takový soubor spustit, neboť nebude varován vůbec, nebo jen minimálně! Neznámá je vlastně i pro jiné aplikace Microsoftu. Dokonalým příkladem budiž chování Microsoft Office. Pokud soubor .SettingContent-ms vložíme do Wordovského dokumentu (OLE), uživatel nebude o jeho nebezpečnosti při spuštění varován (zatímco například u EXE ano). Přitom zrovna šíření havěti skrze dokumenty Wordu je docela oblíbené, neboť může rovnou obsahovat popisný návod, co vše musí uživatel udělat (povolit makra, ignorovat varování, …).
Dejte si tedy pozor - pár kliknutí tak může způsobit velký problém!