Badacze zajmujący się cyberbezpieczeństwem badają nową kampanię phishingową, która wykorzystuje uszkodzone dokumenty pakietu Microsoft Office i pliki ZIP w celu uniknięcia wykrycia przez ochronę poczty e-mail i oprogramowanie antywirusowe. Ta strategia ataku, aktywna co najmniej od sierpnia 2024 r., umożliwia złośliwym e-mailom ominięcie filtrów spamu i bezpośrednie dotarcie do użytkowników.
Eksperci ds. cyberbezpieczeństwa odkrywają nową taktykę phishingu przy użyciu uszkodzonych plików
Kampania polega na wysyłaniu wiadomości e-mail z celowo uszkodzonymi załącznikami. Uszkodzony stan uniemożliwia skuteczne skanowanie tych plików przez narzędzia bezpieczeństwa, co ostatecznie umożliwia im ominięcie alertów antywirusowych. Według DOWOLNY.BIEGzłośliwe oprogramowanie wykorzystuje wbudowane funkcje odzyskiwania w programach takich jak Microsoft Word i WinRAR, umożliwiając otwieranie uszkodzonych plików bez wywoływania natychmiastowych ostrzeżeń dotyczących bezpieczeństwa.
E-maile często obiecują wprowadzające w błąd korzyści, wabiąc odbiorców roszczeniami związanymi z premiami pracowniczymi i powiadomieniami HR. Szkodliwe dokumenty zawierają kody QR, które przekierowują ofiary do fałszywych witryn internetowych, co może prowadzić do kradzieży danych uwierzytelniających lub instalacji złośliwego oprogramowania. Kontrole bezpieczeństwa wykazują, że załączniki przesyłane do usług takich jak VirusTotal zazwyczaj nie generują żadnych alertów dotyczących złośliwej zawartości, co jeszcze bardziej komplikuje wysiłki w zakresie wykrywania.
Strategia ta stanowi wyjątkowe wyzwanie polegające na tworzeniu dokumentów na tyle uszkodzonych, aby ominąć automatyczne skanowanie bezpieczeństwa, a jednocześnie wystarczająco dostępnych, aby użytkownicy mogli je otworzyć. Sprytne wykorzystanie obiecanych premii i świadczeń pracowniczych jako przynęty obnaża słabe punkty szkoleń w miejscu pracy, podkreślając potrzebę ulepszania przez organizacje programów uświadamiających w zakresie bezpieczeństwa. Takie szkolenie powinno dotyczyć konkretnych zagrożeń tego typu, aby pomóc pracownikom rozpoznać te dobrze opracowane programy i uniknąć ich ofiar.
Dane pokazują, że metodologia zastosowana w tej kampanii phishingowej nie jest całkowicie bezprecedensowa. Podobną taktykę zastosowano w poprzednich atakach, a oszuści często znajdowali unikalne sposoby na ukrycie złośliwego oprogramowania w pozornie nieszkodliwych plikach. Techniki takie jak dokumenty z osadzonymi makrami i pliki poliglotyczne podkreślają szerszą tendencję, w ramach której napastnicy wykorzystują niekonwencjonalne metody, aby uniknąć wykrycia.
Uszkodzone załączniki w tej kampanii zostały specjalnie zaprojektowane w celu obejścia środowisk piaskownicy, które wiele organizacji wykorzystuje do testowania bezpieczeństwa. Takie środowiska opierają się na strukturach plików, które mogą powodować przeoczenie uszkodzeń. Dlatego też, gdy użytkownik próbuje odzyskać dokument, nieświadomie uruchamia szkodliwy program.
Pomimo stosowania przez wiele usług poczty elektronicznej zaawansowanych technik filtrowania, kampania pokazuje, że w tych systemach nadal istnieją luki. ANY.RUN podkreśla, że chociaż pliki działają bez oznaczania ich jako złośliwe, niezbędna jest interaktywność w wykrywaniu tego typu uszkodzonych plików. Rozwiązania zabezpieczające nie radzą sobie skutecznie z kodami QR, a często połączenie takich taktyk zwiększa ryzyko dla użytkowników.
Wraz ze wzrostem popularności kodów QR wielu atakujących umieszcza obecnie w tych kodach łącza, aby jeszcze bardziej ukryć swoje złośliwe zamiary.
Autor wyróżnionego obrazu: Microsoftu
Wpis Te niewinnie wyglądające dokumenty Worda skrywają niebezpieczny sekret pojawił się jako pierwszy w TechBriefly.
Source: Te niewinnie wyglądające dokumenty Worda skrywają niebezpieczny sekret
