Исследователи кибербезопасности расследуют новую фишинговую кампанию, в которой используются поврежденные документы Microsoft Office и ZIP-файлы, чтобы избежать обнаружения средствами защиты электронной почты и антивирусным программным обеспечением. Эта стратегия атаки, действующая как минимум с августа 2024 года, позволяет вредоносным электронным письмам обходить спам-фильтры и напрямую достигать пользователей.
Эксперты по кибербезопасности раскрывают новую тактику фишинга с использованием поврежденных файлов
Кампания работает путем отправки электронных писем с намеренно поврежденными вложениями. Поврежденное состояние не позволяет эффективно сканировать эти файлы средствами безопасности, что в конечном итоге позволяет им обходить предупреждения антивируса. В соответствии с ЛЮБОЙ.RUNВредоносная программа использует встроенные функции восстановления в таких программах, как Microsoft Word и WinRAR, позволяя открывать поврежденные файлы без немедленных предупреждений системы безопасности.
Электронные письма часто обещают вводящие в заблуждение льготы, заманивая получателей претензиями, связанными с бонусами для сотрудников и уведомлениями отдела кадров. Вредоносные документы содержат QR-коды, которые перенаправляют жертв на мошеннические веб-сайты, что может привести к краже учетных данных или установке вредоносного ПО. Проверки безопасности показывают, что когда вложения загружаются в такие службы, как VirusTotal, они обычно не генерируют никаких предупреждений о вредоносном контенте, что еще больше усложняет усилия по обнаружению.
Эта стратегия представляет собой уникальную задачу, поскольку создает документы, достаточно поврежденные, чтобы их можно было обойти автоматическими проверками безопасности, но при этом достаточно доступные для открытия пользователями. Умное использование обещанных сотрудникам бонусов и льгот в качестве приманки выявляет уязвимости в обучении на рабочем месте, подчеркивая необходимость для организаций расширять программы повышения осведомленности о безопасности. Такое обучение должно устранять конкретные угрозы, подобные этой, чтобы помочь сотрудникам распознать эти хорошо продуманные схемы и не стать жертвами этих хорошо продуманных схем.
Записи показывают, что методология, использованная в этой фишинговой кампании, не является совершенно беспрецедентной. Похожая тактика применялась и в прошлых атаках: злоумышленники часто находили уникальные способы скрыть вредоносное ПО в, казалось бы, безобидных файлах. Такие методы, как встраивание макросов в документы и полиглотные файлы, подчеркивают более широкую тенденцию, когда злоумышленники используют неортодоксальные методы, чтобы избежать обнаружения.
Поврежденные вложения в этой кампании специально разработаны для обхода изолированных сред, которые многие организации используют для тестирования безопасности. Такие среды полагаются на файловые структуры, которые могут привести к тому, что повреждение останется незамеченным. Таким образом, когда пользователь пытается восстановить документ, он невольно запускает вредоносную программу.
Несмотря на использование передовых методов фильтрации многими службами электронной почты, кампания показывает, что в этих системах все еще существуют пробелы. ANY.RUN подчеркивает, что, хотя файлы работают и не помечаются как вредоносные, интерактивность при обнаружении этих типов поврежденных файлов имеет важное значение. Решениям безопасности сложно эффективно обрабатывать QR-коды, и часто сочетание таких тактик увеличивает риск для пользователей.
С ростом популярности QR-кодов многие злоумышленники теперь встраивают в эти коды ссылки, чтобы еще больше скрыть свои вредоносные намерения.
Предоставленное изображение предоставлено: Майкрософт
Пост «Эти невинно выглядящие документы Word скрывают опасную тайну» впервые появился на TechBriefly.
Source: Эти невинные на вид документы Word скрывают опасную тайну
