损坏的 Word 文件助长复杂的网络钓鱼活动

admin 2024年12月3日22:28:09评论26 views字数 1289阅读4分17秒阅读模式

据发现,一项新的网络钓鱼活动破坏了 Microsoft Word 文档以绕过电子邮件安全系统并诱骗用户共享敏感信息。

该活动以冒充工资部门或人力资源部门的电子邮件为目标,承诺提供员工福利或奖金,以诱骗收件人打开恶意附件。

这些电子邮件的附件被命名为看似合法的,例如:

  • [姓名] 的年度福利和奖金.docx

  • Due_Payment_for[name].docx.bin

  • Q4_福利_&奖金_for[name].docx.bin

打开后,这些文件会启动 Microsoft Word 的恢复模式,该模式会重建文档并显示扫描二维码的说明。扫描二维码会将用户重定向到一个虚假的 Microsoft 登录页面,该页面旨在窃取登录凭据。

注:请辨别域名及跳转访问页面的真实性,尤其使用office 365的用户,请仔细辨别真伪,谨防钓鱼。

损坏的 Word 文件助长复杂的网络钓鱼活动

Any.Run 的研究人员发现了这一攻击活动,并强调了其上周在 X(以前称为 Twitter)上对损坏文件的创新使用

与传统的网络钓鱼技术不同,这些附件不包含恶意代码,因此对大多数防病毒软件和检测工具来说都是安全的。许多上传到 VirusTotal 的文件被标记为干净或完全未被检测到。

此次活动的成功之处在于利用了操作系统处理受损文件与安全工具分析受损文件之间的差距。

Any.Run 的研究人员解释说:“这些文件在操作系统内成功运行,但由于未能针对其文件类型应用正确的程序而未被发现。”

防范网络钓鱼的技巧

为了免受此类威胁,公司和个人应考虑以下最佳做法:

  • 警惕带有附件的意外电子邮件,即使它们看起来与工作有关

  • 打开附件前请与发件人核实电子邮件的真实性

  • 使用沙盒环境或高级检测工具来分析可疑文件

该活动自 8 月以来一直活跃,表明网络钓鱼技术日益复杂。保持警惕和强大的网络安全措施对于保持保护仍然至关重要。

对上述内容有必要分享一下,新一代恶意二维码钓鱼

电子邮件保护公司的研究重点指出,通过使用基于文本的 ASCII/Unicode 字符而不是标准静态图像构建的二维码,可以规避传统安全防御的新技术。

这种策略旨在逃避基于光学字符识别 (OCR) 的防御。在电子邮件中,它看起来像传统的二维码。对于典型的 OCR 检测系统来说,它似乎毫无意义。

损坏的 Word 文件助长复杂的网络钓鱼活动

一封电子邮件,其中包含由 49x49 的“全块”(█)矩阵组成的二维码。使其看起来像令人信服的二维码。


另一种技术是使用二进制大对象通用资源标识符 (URI) 来创建难以检测的网络钓鱼页面。

lob URI 允许 Web 开发人员直接在浏览器中处理图像、视频或文件等二进制数据,而无需从外部服务器发送或检索这些数据。

由于 Blob URI 不会从外部 URL 加载数据,因此传统的 URL 过滤和扫描工具可能最初不会将内容识别为恶意内容。

Blob URI 也很难追踪和分析,因为它们是动态创建的并且很快就会过期。

总结:

“在传统的二维码攻击中,威胁者会将恶意链接嵌入二维码中。安全工具会扫描图像以查找已知的恶意链接并阻止它们,新一代二维码网络钓鱼技术试图绕过这一问题,要么让基于图像的安全扫描工具无法读取二维码,要么让检测系统更难识别和阻止恶意内容。

原文始发于微信公众号(三沐数安):损坏的 Word 文件助长复杂的网络钓鱼活动

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月3日22:28:09
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   损坏的 Word 文件助长复杂的网络钓鱼活动http://cn-sec.com/archives/3463443.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息