据称,损坏的 Microsoft Office 文档和 ZIP 文件正在被用于逃避防病毒检测的网络钓鱼活动 任意运行。这种策略至少从 2024 年 8 月开始使用,涉及故意损坏文件以绕过电子邮件安全措施,同时仍有助于恢复恶意内容。
新的网络钓鱼策略中使用了损坏的 Microsoft Office 文件
ANY.RUN 报告称,损坏的文档经过精心设计,可以绕过电子邮件过滤器和防病毒软件,从而使网络钓鱼电子邮件能够到达目标用户。与传统恶意软件不同,这些文件不会因为其损坏状态而被标记为可疑,这会阻碍扫描功能。网络钓鱼活动使用文档中的二维码引导用户访问欺诈性的 Microsoft 帐户登录页面,模仿有关员工奖金和福利的合法通信。
ANY.RUN 分析的这些文档样本表明,在使用 VirusTotal 进行测试时,以这种方式传递的附件通常不会产生恶意标记。诈骗者开发了专门设计用于逃避内容过滤器的损坏文档,同时保持足够的完整性以供 Microsoft Word 恢复它们。
此活动中使用的恶意文件旨在利用 Microsoft Word 和 WinRAR 的恢复功能。通过操纵文件的完整性,攻击者确保当用户打开这些文档时,内置的恢复功能使文件可读,从而掩盖他们的恶意意图。这种技术有效地允许攻击者绕过许多安全软件所依赖的传统扫描方法。
调查已确定这是一个潜在的零日漏洞,表明威胁行为者对软件机制有着深入的了解。目标仍然很明确:用户被欺骗打开这些损坏的文件,导致嵌入的二维码被激活,将他们重定向到旨在获取凭据或传播恶意软件的虚假网站。
安全专家强调,面对日益复杂的网络钓鱼尝试,用户意识的重要性。 Grimes 强调组织中需要进行安全意识培训,特别是当员工奖金等针对特定角色的通信成为网络钓鱼计划的诱饵时。 “你不希望真正的诈骗者是唯一以这种方式对你的同事进行网络钓鱼的人,”他说。
应对这些威胁的积极措施包括增强电子邮件过滤功能,以检测可能不会触发传统安全警报的文件损坏模式或可疑内容。近年来,已经实施了阻止 Microsoft Office 文档中的宏等策略来降低类似文件利用方法带来的风险。网络钓鱼策略的不断发展,例如在二维码中嵌入恶意链接,需要网络安全专业人员和组织等采取适应性策略。
二维码网络钓鱼(也称为“quishing”)的日益盛行又增加了一层复杂性,许多用户没有意识到扫描二维码的相关风险。网络安全解决方案正在配备增强的二维码检测措施,但威胁的复杂性意味着潜在的漏洞仍然存在。
特色图片来源: 萨松·布格达里安/Unsplash
