Новая фишинговая атака использует функцию восстановления файлов Word от Microsoft, отправляя поврежденные документы Word в виде вложений в электронную почту, что позволяет обойти защитное ПО из-за их поврежденного состояния, но при первом открытии файл восстанавливается, обходя спам-системы.
Хакеры постоянно ищут новые способы обхода программных средств защиты электронной почты и попадания своих фишинговых писем в почтовые ящики адресатов.
Новая фишинговая кампания, обнаруженная компанией Any.Run, занимающейся поиском вредоносных программ, использует намеренно поврежденные документы Word в качестве вложений в письма, отправленные от пользователя из ваших контктов.
Вот названия файлов, которые стали известны на данный момент:
- Annual_Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx
- Annual_Q4_Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin
- Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin
- Due_&_Payment_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin
- Q4_Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin
Все эти документы содержат закодированную в base64 строку IyNURVhUTlVNUkFORE9NNDUjIw, которая расшифровывается как ##TEXTNUMRANDOM45##.
При открытии вложений Word обнаруживает, что файл поврежден, и сообщает, что в нем «обнаружено нечитаемое содержимое», и спрашивает, хотите ли вы его восстановить.
Эти фишинговые документы повреждены таким образом, что их можно легко восстановить, отображая документ, в котором адресату предлагается отсканировать QR-код, чтобы получить документ. Как вы можете видеть ниже, на эти документы наносятся логотипы целевых компаний, как, например, в кампании, направленной на Daily Mail, показанной ниже.
При сканировании QR-кода пользователь попадает на фишинговый сайт, который выдает себя за сайт Microsoft и пытается украсть учетные данные пользователя.
Хотя по итогу у этой атаки нет ничего нового, использование поврежденных документов Word – это новая тактика, применяемая для уклонения от обнаружения.
«Хотя эти файлы успешно работают в ОС, они остаются необнаруженными большинством почтовых решений безопасности из-за несстандартного типа файлов», – поясняет Any.Run.
«Они были загружены на VirusTotal, но все антивирусные решения выдали ответ «clean» или «Item Not Found», поскольку не смогли должным образом проанализировать файл».
Эти вложения довольно успешно достигли своей цели.
Из вложений, переданных BleepingComputer и использованных в этой кампании, почти все имеют нулевые обнаружения 1, 2, 3, 4 на VirusTotal, и только некоторые обнаружены.
Это также может быть вызвано тем, что в документы не добавляется вредоносный код, а просто отображается QR-код.
Для защиты от этой фишинговой атаки по-прежнему действуют общие правила: если вы получили письмо от неизвестного отправителя, особенно если оно содержит вложения, его следует немедленно удалить или уведомить своего системного администратора.