网络钓鱼  Word 规避检测

威胁者不断寻找新方法来绕过电子邮件安全软件并将网络钓鱼电子邮件放入目标的收件箱中。恶意软件狩猎公司 Any.Run 发现了一种新的网络钓鱼活动，利用故意损坏的 Word 文档作为电子邮件中的附件。

网络钓鱼电子邮件

这些附件使用广泛的主题，几乎全部围绕员工福利和奖金。打开附件时，Word 将检测到文件已损坏，并指出它在文件中“发现不可读的内容”，询问您是否要恢复它。

这些网络钓鱼文档的损坏方式很容易恢复，并显示一个文档，告诉目标扫描二维码以检索文档。如下所示，这些文档都带有目标公司的徽标，例如下面所示的示例：

修复后的Word文档

它们已上传到 VirusTotal，但所有防病毒解决方案都返回“干净”或“未找到项目”，因为它们无法正确分析该文件。因此，这些附件相当成功地实现了他们的目标。

从附件来看，几乎所有附件在 VirusTotal 上的检测量都是 [0，1，2，3，4]，只有一些 [1] 由 2 个供应商检测到。同时，这也可能是由于文档中没有添加恶意代码，仅显示二维码所致。一般规则仍然适用于保护用户免受网络钓鱼攻击。

如果收到来自未知发件人的电子邮件，尤其是包含附件的电子邮件，应立即将其删除或在打开之前与网络管理员确认。

https://www.bleepingcomputer.com/news/security/novel-phishing-campaign-uses-corrupted-word-documents-to-evade-security/

• 【实操】常见的安全事件及应急响应处理

• Windows 0-Day 漏洞-(CVSS 9.8) CVE-2024-43491

• 腾讯【微信】存在可能导致远程代码执行【漏洞】

• CVE-2024-7262（9.3）WPS【漏洞】已经被武器化

• 微软披露：Office最新【零日漏洞】，可能导致数据泄露

• 【微软警告！】OpenVPN存在【漏洞】| 可能存在漏洞链

• 【爆！】堪比Windows蓝屏危机！| Linux被曝12年史诗级漏洞，“投毒者”是谷歌？

• 0.0.0.0 Day【漏洞】曝光 | 谷歌、Safari、火狐等主流浏览器面临威胁

原文始发于微信公众号（安小圈）：最新【网络钓鱼】活动利用损坏的 Word 文档来【规避检测】