新型网络钓鱼活动利用损坏的 Word 文档来逃避安全保护

admin 2024年12月2日11:00:22评论25 views字数 1359阅读4分31秒阅读模式

一种新的网络钓鱼攻击滥用 Microsoft 的 Word 文件恢复功能,将损坏的 Word 文档作为电子邮件附件发送,从而使它们能够由于损坏状态而绕过安全软件,但仍可被应用程序恢复。

威胁组织不断寻找新方法来绕过电子邮件安全软件并将他们的网络钓鱼电子邮件放入目标收件箱中。

Any.Run发现了一项新的网络钓鱼活动,该活动利用故意损坏的 Word 文档作为电子邮件附件,假装来自工资和人力资源部门。

新型网络钓鱼活动利用损坏的 Word 文档来逃避安全保护

这些附件采用多种主题,均围绕员工福利和奖金,其中包括:

Annual_Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx

Annual_Q4_Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin

Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin

Due_&_Payment_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin

Q4_Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin

此次活动中的文档均包含 base64 编码的字符串“IyNURVhUTlVNUkFORE9NNDUjIw”,解码后为“##TEXTNUMRANDOM45##”。

打开附件时,Word 将检测到文件已损坏并显示“在文件中发现无法读取的内容”,询问您是否要恢复。

新型网络钓鱼活动利用损坏的 Word 文档来逃避安全保护

钓鱼邮件中发送的损坏 Word 文档,来源:BleepingComputer

这些钓鱼文档被破坏,因此很容易恢复,显示一个文档,告诉目标扫描二维码以检索文档。如下所示,这些文档带有目标公司的徽标,例如下面显示的针对每日邮报的活动。

新型网络钓鱼活动利用损坏的 Word 文档来逃避安全保护

修复的Word文档,来源:BleepingComputer

扫描二维码会将用户带到一个伪装成 Microsoft 登录的钓鱼网站,试图窃取用户的凭据。

新型网络钓鱼活动利用损坏的 Word 文档来逃避安全保护

窃取 Microsoft 凭证的钓鱼页面,来源:BleepingComputer

Any.Run 解释道:“尽管这些文件在操作系统内成功运行,但由于未能针对其文件类型应用适当的程序,因此大多数安全解决方案都无法检测到它们。”

“它们被上传到 VirusTotal,但所有防病毒解决方案都返回“干净”或“未找到项目”,因为它们无法正确分析该文件。”

这些附件已经相当成功地实现了它们的目标。

从与 BleepingComputer 共享并用于此活动中的附件来看,几乎所有附件在 VirusTotal 上都没有被检测到,只有2 家供应商检测到了一些。

同时,因为文档中没有添加任何恶意代码,而只是显示一个二维码。从而未被检测到。

新闻链接:

https://www.bleepingcomputer.com/news/security/novel-phising-campaign-uses-corrupted-word-documents-to-evade-security/

新型网络钓鱼活动利用损坏的 Word 文档来逃避安全保护

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

原文始发于微信公众号(军哥网络安全读报):新型网络钓鱼活动利用损坏的 Word 文档来逃避安全保护

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月2日11:00:22
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   新型网络钓鱼活动利用损坏的 Word 文档来逃避安全保护https://cn-sec.com/archives/3457526.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息