В 2024 году киберпреступники усовершенствовали методы обхода антивирусных программ и почтовых фильтров, используя поврежденные документы Microsoft Word. Эта тактика позволяет злоумышленникам успешно доставлять фишинговые письма в почтовые ящики жертв, минуя большинство защитных механизмов.
Как работает атака?
Суть кампании заключается в отправке электронных писем с поврежденными документами Word, которые выглядят как официальные сообщения из отдела кадров или бухгалтерии. Темы писем часто касаются льгот, бонусов или обновлений системы оплаты труда. Когда получатель открывает вложение, Word определяет файл как поврежденный и предлагает восстановить его. Этот шаг кажется пользователю безопасным, так как выполняется через встроенные функции Microsoft.
После восстановления в документе появляется QR-код с инструкцией отсканировать его для получения доступа к дополнительным данным. Сканирование кода ведет на поддельную страницу входа Microsoft, где пользователь вводит свои учетные данные, фактически передавая их мошенникам.
Обход систем безопасности
Одной из ключевых особенностей этой атаки является способность обходить большинство антивирусных решений. Поврежденные документы не содержат вредоносного кода, а лишь ссылку в виде QR-кода, что затрудняет их обнаружение. На платформе VirusTotal большинство таких файлов не распознаются как угрозы, лишь немногие системы идентифицируют их как подозрительные.
Уязвимость и профилактика
Главная опасность заключается в доверии пользователей к встроенным функциям Microsoft и недостаточной осведомленности о современных фишинговых тактиках. Эксперты рекомендуют:
1. Проверять отправителей: Если письмо пришло от незнакомого адресата, лучше не открывать вложения без предварительной проверки.
2. Использовать защищенные среды: Открытие подозрительных файлов в песочнице или виртуальной машине поможет избежать угроз.
3. Повышать осведомленность: Регулярное обучение сотрудников кибербезопасности — ключевой элемент защиты.
Эта кампания демонстрирует, насколько изобретательными могут быть злоумышленники, и подчеркивает необходимость внедрения комплексных мер кибербезопасности в компаниях всех размеров.