据发现,一项新的网络钓鱼活动破坏了 Microsoft Word 文档以绕过电子邮件安全系统并诱骗用户共享敏感信息。
该活动以冒充工资部门或人力资源部门的电子邮件为目标,承诺提供员工福利或奖金,以诱骗收件人打开恶意附件。
这些电子邮件的附件被命名为看似合法的,例如:
-
[姓名] 的年度福利和奖金.docx
-
Due_Payment_for[name].docx.bin
-
Q4_福利_&奖金_for[name].docx.bin
打开后,这些文件会启动 Microsoft Word 的恢复模式,该模式会重建文档并显示扫描二维码的说明。扫描二维码会将用户重定向到一个虚假的 Microsoft 登录页面,该页面旨在窃取登录凭据。
注:请辨别域名及跳转访问页面的真实性,尤其使用office 365的用户,请仔细辨别真伪,谨防钓鱼。
Any.Run 的研究人员发现了这一攻击活动,并强调了其上周在 X(以前称为 Twitter)上对损坏文件的创新使用
与传统的网络钓鱼技术不同,这些附件不包含恶意代码,因此对大多数防病毒软件和检测工具来说都是安全的。许多上传到 VirusTotal 的文件被标记为干净或完全未被检测到。
此次活动的成功之处在于利用了操作系统处理受损文件与安全工具分析受损文件之间的差距。
Any.Run 的研究人员解释说:“这些文件在操作系统内成功运行,但由于未能针对其文件类型应用正确的程序而未被发现。”
防范网络钓鱼的技巧
为了免受此类威胁,公司和个人应考虑以下最佳做法:
-
警惕带有附件的意外电子邮件,即使它们看起来与工作有关
-
打开附件前请与发件人核实电子邮件的真实性
-
使用沙盒环境或高级检测工具来分析可疑文件
该活动自 8 月以来一直活跃,表明网络钓鱼技术日益复杂。保持警惕和强大的网络安全措施对于保持保护仍然至关重要。
对上述内容有必要分享一下,新一代恶意二维码钓鱼
电子邮件保护公司的研究重点指出,通过使用基于文本的 ASCII/Unicode 字符而不是标准静态图像构建的二维码,可以规避传统安全防御的新技术。
这种策略旨在逃避基于光学字符识别 (OCR) 的防御。在电子邮件中,它看起来像传统的二维码。对于典型的 OCR 检测系统来说,它似乎毫无意义。
一封电子邮件,其中包含由 49x49 的“全块”(█)矩阵组成的二维码。使其看起来像令人信服的二维码。
另一种技术是使用二进制大对象通用资源标识符 (URI) 来创建难以检测的网络钓鱼页面。
lob URI 允许 Web 开发人员直接在浏览器中处理图像、视频或文件等二进制数据,而无需从外部服务器发送或检索这些数据。
由于 Blob URI 不会从外部 URL 加载数据,因此传统的 URL 过滤和扫描工具可能最初不会将内容识别为恶意内容。
Blob URI 也很难追踪和分析,因为它们是动态创建的并且很快就会过期。
总结:
“在传统的二维码攻击中,威胁者会将恶意链接嵌入二维码中。安全工具会扫描图像以查找已知的恶意链接并阻止它们,新一代二维码网络钓鱼技术试图绕过这一问题,要么让基于图像的安全扫描工具无法读取二维码,要么让检测系统更难识别和阻止恶意内容。”
原文始发于微信公众号(三沐数安):损坏的 Word 文件助长复杂的网络钓鱼活动
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论