Un nouveau type de fichiers est utilisé dans des campagnes de pourriels afin de contourner les vérifications antivirales

Le botnet Necurs utilise un nouveau type de pièces jointes pour ses campagnes de pourriel. Ces pièces jointes IQY (Excel Web Query Files) contournent les filtres des mails et des antivirus. Les .IQY sont utilisés pour télécharger un script Powershell malicieux qui est ensuite exécuté sur le système de la victime.

Le botnet Necurs utilise des courriels d'hameçonnage qui prennent la forme de commandes d'achat, de documents scannés ou de factures non payées. Quand le fichier IQY est ouvert, une commande PowerShell est exécutée afin d'installer une version pré configurée de AMMYY Admin, un outil légitime d'administration à distance.

Excel émet deux alertes quand un fichier IQY est ouvert en indiquant dans la première que des données sont chargées depuis une source externe et dans la deuxième qu'il souhaite ouvrir une application externe. Si un utilisateur ignore ces deux alertes, un logiciel malveillant est chargé sur la machine utilisée.