Excel Web Query(.iqy)可用於直接從網絡下載數據到Excel中，構造此類型惡意文檔的過程非常簡單，但構造文檔的功能非常強大。通常在打開.iqy文檔時，會遠程下載攻擊者構造的腳本命令，該腳本通過Excel啟用並執行下載安裝遠程控制工具實現感染目標主機的目的。早在2015年國外安全研究員Casey Smith就指出了利用.iqy文檔進行釣魚攻擊的潛在能力，直到今年5月底才陸續發現某些組織開始利用這種方式進行釣魚攻擊，已披露的攻擊行動是今年6月15日、16日黑客組織DarkHydrus針對中東政府發起的釣魚攻擊利用了.iqy附件的方式下載安裝遠控惡意代碼FlawedAmmyy。

此次針對日本大規模的釣魚攻擊利用.iqy文檔下載安裝的遠控惡意代碼為URSNIF，該惡意代碼以竊取數據出名，在這之前該惡意代碼一直針對銀行進行攻擊，此次大面積的釣魚攻擊可見攻擊者的目的在於收集廣泛的相關信息，且可能希望從中篩選出高價值目標或進行進一步的攻擊行為。

此次爆發的惡意代碼事件針對性較強，在短短數日之內垃圾郵件數量在日本達到了290,000封，且採用了不常見的.iqy文檔附件方式進行傳播，而不是之前常見利用0day的word文檔附件的方式進行傳播，利用了用戶對.iqy文檔擴展名不熟悉的特點，用戶點擊附件後便會直接啟動Excel，然後將嘗試下載遠程的腳本命令並執行。  

圖1 IQY附件攻擊流程

但在這個過程中會出現兩次警告，第一次提示是否啟用數據連接，用戶點擊啟用後又會彈出第二個警告提示，提示用戶是否啟動應用程序，如果用戶在兩次警告中都放行了可疑行為，就會執行遠程腳本內容，最終下載安裝指定的惡意代碼。（示例中使用了構造的簡單樣本，腳本內容為打開計算器）