一种新颖的网络钓鱼攻击滥用了 Microsoft 的 Word 文件恢复功能,将损坏的 Word 文档作为电子邮件附件发送,从而使它们能够由于损坏状态而绕过安全软件,但仍可被应用程序恢复。
威胁行为者不断寻找新方法来绕过电子邮件安全软件并将他们的网络钓鱼电子邮件放入目标的收件箱中。
恶意软件搜寻公司Any.Run发现了一项新的网络钓鱼活动,该活动利用故意损坏的 Word 文档作为电子邮件附件,假装来自工资和人力资源部门。
钓鱼邮件
来源:BleepingComputer
这些附件采用多种主题,均围绕员工福利和奖金,其中包括:
Annual_Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx
Annual_Q4_Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin
Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin
Due_&_Payment_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin
Q4_Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin此次活动中的文档均包含 base64 编码的字符串“IyNURVhUTlVNUkFORE9NNDUjIw”,解码后为“##TEXTNUMRANDOM45##”
打开附件时,Word 将检测到文件已损坏并显示“在文件中发现无法读取的内容”,询问您是否要恢复。
钓鱼邮件中发送的损坏 Word 文档
来源:BleepingComputer
这些钓鱼文档被破坏,因此很容易恢复,显示一个文档,告诉目标扫描二维码以检索文档。如下所示,这些文档带有目标公司的徽标,例如下面显示的针对每日邮报的活动。
修复的Word文档
来源:BleepingComputer
扫描二维码会将用户带到一个伪装成 Microsoft 登录的钓鱼网站,试图窃取用户的凭据。
窃取 Microsoft 凭证的钓鱼页面
来源:BleepingComputer
虽然这次网络钓鱼攻击的最终目标并不是什么新鲜事,但其使用损坏的 Word 文档却是一种逃避检测的新策略。
Any.Run 解释道:“尽管这些文件在操作系统内成功运行,但由于未能针对其文件类型应用适当的程序,因此大多数安全解决方案都无法检测到它们。”
“它们被上传到 VirusTotal,但所有防病毒解决方案都返回“干净”或“未找到项目”,因为它们无法正确分析该文件。”
这些附件已经相当成功地实现了它们的目标。
从与 BleepingComputer 共享并用于此活动中的附件来看,几乎所有附件在 VirusTotal 上都没有被检测到[ 1 , 2 , 3 , 4 ],只有2 家供应商检测到了一些[ 1 ]。
同时,这也可能是因为文档中没有添加任何恶意代码,而只是显示一个二维码。
一般规则仍然适用,以保护您免受此类网络钓鱼攻击。
如果您收到来自未知发件人的电子邮件,尤其是其中包含附件,则应立即删除或在打开之前与网络管理员确认。
感谢您抽出
.
.
来阅读本文
点它,分享点赞在看都在这里
