Według danych firmy, uszkodzone dokumenty Microsoft Office i pliki ZIP są wykorzystywane w kampanii phishingowej, która pozwala uniknąć wykrycia przez program antywirusowy DOWOLNY.BIEG. Taktyka ta, stosowana co najmniej od sierpnia 2024 r., polega na celowym uszkadzaniu plików w celu ominięcia zabezpieczeń poczty elektronicznej, a jednocześnie ułatwienia odzyskiwania złośliwej zawartości.
Uszkodzone pliki pakietu Microsoft Office użyte w nowej taktyce phishingu
ANY.RUN zgłosił, że uszkodzone dokumenty są tworzone w celu prześlizgnięcia się przez filtry poczty e-mail i oprogramowanie antywirusowe, umożliwiając e-mailom phishingowym dotarcie do docelowych użytkowników. W przeciwieństwie do konwencjonalnego złośliwego oprogramowania, pliki te nie są oznaczane jako podejrzane ze względu na ich uszkodzony stan, który utrudnia skanowanie. Kampania phishingowa wykorzystuje kody QR w dokumentach, aby prowadzić użytkowników do fałszywych stron logowania do konta Microsoft, naśladując legalną komunikację dotyczącą premii i świadczeń pracowniczych.
Próbki tych dokumentów przeanalizowane przez ANY.RUN wykazały, że załączniki dostarczane w ten sposób często nie generowały żadnych szkodliwych flag podczas testowania za pomocą VirusTotal. Oszuści opracowali uszkodzone dokumenty zaprojektowane specjalnie w celu ominięcia filtrów treści przy jednoczesnym zachowaniu wystarczającej integralności, aby program Microsoft Word mógł je odzyskać.
Celem złośliwych plików wykorzystywanych w tej kampanii jest wykorzystywanie funkcji odzyskiwania programów Microsoft Word i WinRAR. Manipulując integralnością plików, osoby atakujące zapewniają, że gdy użytkownicy otworzą te dokumenty, wbudowane funkcje odzyskiwania sprawią, że pliki będą czytelne, maskując w ten sposób ich złośliwe zamiary. Technika ta skutecznie pozwala atakującym ominąć tradycyjne metody skanowania, na których opiera się wiele programów zabezpieczających.
Dochodzenia wykazały, że jest to potencjalny exploit dnia zerowego, co świadczy o zaawansowanym zrozumieniu mechaniki oprogramowania przez podmioty zagrażające. Cel pozostaje jasny: użytkownicy dają się oszukać i otwierają te uszkodzone pliki, co prowadzi do aktywacji osadzonych kodów QR, które przekierowują ich do fałszywych witryn internetowych zaprojektowanych w celu gromadzenia danych uwierzytelniających lub dostarczania złośliwego oprogramowania.
Eksperci ds. bezpieczeństwa podkreślają znaczenie świadomości użytkowników w obliczu coraz bardziej złożonych prób phishingu. Grimes podkreślił potrzebę szkoleń w zakresie świadomości bezpieczeństwa w organizacjach, zwłaszcza gdy komunikacja dotycząca konkretnej roli, np. premie dla pracowników, służy jako przynęta dla schematów phishingu. „Nie chcesz, aby prawdziwi oszuści byli jedynymi, którzy wyłudzają informacje w ten sposób od Twoich współpracowników” – stwierdził.
Aktywne środki zwalczania tych zagrożeń obejmują ulepszenie możliwości filtrowania wiadomości e-mail w celu wykrywania wzorców uszkodzeń plików lub podejrzanych treści, które mogą nie wywoływać tradycyjnych alertów bezpieczeństwa. W ostatnich latach wdrożono strategie takie jak blokowanie makr w dokumentach pakietu Microsoft Office w celu ograniczenia ryzyka wynikającego z podobnych metod wykorzystania plików. Ciągła ewolucja taktyk phishingu, takich jak osadzanie złośliwych linków w kodach QR, wymaga strategii adaptacyjnych zarówno od specjalistów, jak i organizacji zajmujących się cyberbezpieczeństwem.
Rosnąca popularność phishingu za pomocą kodów QR, znanego również jako „quishing”, powoduje kolejny poziom komplikacji, a wielu użytkowników nie jest świadomych zagrożeń związanych ze skanowaniem kodów. Rozwiązania w zakresie cyberbezpieczeństwa są coraz wyposażane w ulepszone mechanizmy wykrywania kodów QR, jednak stopień zaawansowania zagrożeń oznacza, że potencjalne luki w zabezpieczeniach nadal się utrzymują.
Autor wyróżnionego obrazu: Sasun Bughdaryan/Unsplash
