行业新闻与博客

安全研究人员警告说，新的勒索软件活动使用恶意的 IQY 文件通过网络钓鱼电子邮件进行传播。

IQY 或 Internet 查询文件是 Excel 读取的简单文本文件，可用于从 Web 下载数据。

Lastline 的研究人员发现，这些武器在旨在传播天堂乐园勒索软件新变种的攻击中被武器化。

“该活动试图诱使用户打开 IQY 附件，该附件会伸手并从攻击者的 C2 服务器中检索恶意 Excel 公式。反过来，此公式包含运行 PowerShell 命令的命令，该命令将下载并调用可执行文件。

“由于这些 IQY 不包含任何有效负载（仅是 URL），因此对于组织来说很难检测。如果组织没有适当的设备来分析和询问这些 URL，则组织可能不得不依赖第三方 URL 信誉服务。”

天堂本身并不新鲜；该变种自 2017年以来一直存在。但是，此版本包含一些增强功能，旨在提高其逃避安全过滤器检测的能力。

其中包括使用 Salsa20 加密例程算法，该算法可在恶意软件源代码中实现，因此无需调用加密库。

由于许多防病毒工具都依赖于发现 API 调用来检测勒索软件，因此这使安全工具更难检测。Lastline 说，这也使分析师更难于确切了解所使用的加密类型。

研究人员试图从勒索软件支持团队获得回应，但未收到任何回应，表明该活动尚未完全开展。但是，他们确实确定，如果用户的语言是俄语，哈萨克语，白俄罗斯语，乌克兰语或塔塔尔语，则勒索软件将不会激活，这可能暗示了它的起源。

本文由机器译制：https://www.infosecurity-magazine.com/news/paradise-ransomware-uses-iqy/