Pesquisadores de cibersegurança alertaram para uma nova campanha de phishing que utiliza documentos corrompidos do Microsoft Office e arquivos ZIP como forma de burlar as defesas de e-mail.
"O ataque em andamento consegue evitar o software de #antivirus, impede uploads para sandboxes e contorna os filtros de spam do Outlook, permitindo que os e-mails maliciosos alcancem sua caixa de entrada," disse ANY.RUN em uma série de postagens no X.
A atividade maliciosa envolve o envio de e-mails contendo arquivos ZIP ou anexos do Office que são intencionalmente corrompidos de tal maneira que não podem ser escaneados pelas ferramentas de segurança.
Essas mensagens buscam enganar os usuários para que abram os anexos com falsas promessas de benefícios e bônus para funcionários.
Em outras palavras, o estado corrompido dos arquivos significa que eles não são marcados como suspeitos ou maliciosos pelos filtros de e-mail e softwares de antivírus.
No entanto, o ataque ainda funciona porque aproveita os mecanismos de recuperação embutidos em programas como Word, Outlook e WinRAR para relançar tais arquivos danificados em modo de recuperação.
ANY.RUN revelou que a técnica de ataque tem sido empregada por atores de ameaças pelo menos desde agosto de 2024, descrevendo-a como um possível zero-day que está sendo explorado para evitar detecção.
O objetivo final desses ataques é enganar os usuários para que abram documentos preparados, que incorporam códigos QR que, ao serem escaneados, redirecionam as vítimas para sites fraudulentos para implantação de malware ou páginas de login falsas para roubo de credenciais.
As descobertas ilustram novamente como os maus atores estão constantemente à procura de técnicas anteriormente não vistas para contornar o software de segurança de e-mail e garantir que seus e-mails de phishing cheguem às caixas de entrada dos alvos.
"Embora esses arquivos funcionem com sucesso dentro do OS, eles permanecem não detectados pela maioria das soluções de segurança devido à falha em aplicar procedimentos adequados para seus tipos de arquivos," disse ANY.RUN.
"O arquivo permanece indetectável pelas ferramentas de segurança, mas as aplicações do usuário o manuseiam sem problemas devido aos mecanismos de recuperação explorados pelos atacantes."
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...