Um novo ataque de phishing explora o recurso de recuperação de arquivo do Microsoft Word ao enviar documentos Word corrompidos como anexos de email, permitindo que eles evitem o software de segurança devido ao seu estado danificado, mas ainda assim possam ser recuperados pela aplicação.
Os atores de ameaças estão constantemente à procura de novas maneiras de burlar softwares de segurança de email e fazer com que seus e-mails de phishing cheguem às caixas de entrada dos alvos.
Uma nova campanha de phishing descoberta pela empresa de caça a malwares Any.Run utiliza documentos Word intencionalmente corrompidos como anexos em e-mails que se passam por ser de departamentos de folha de pagamento e recursos humanos.
Esses anexos utilizam uma ampla gama de temas, todos girando em torno de benefícios e bônus para os empregados, incluindo:
Os documentos nesta campanha todos incluem a string codificada em base64 "IyNURVhUTlVNUkFORE9NNDUjIw", que decodifica para "##TEXTNUMRANDOM45##".
Ao abrir os anexos, o Word detectará que o arquivo está corrompido e informará que "encontrou conteúdo ilegível" no arquivo, perguntando se você deseja recuperá-lo.
Esses documentos de phishing são corrompidos de tal forma que são facilmente recuperáveis, exibindo um documento que orienta o alvo a escanear um QR code para recuperar um documento.
Como você pode ver abaixo, esses documentos são marcados com os logotipos da empresa alvo, como a campanha que visa o Daily Mail mostrado abaixo.
Escanear o QR code levará o usuário a um site de phishing que finge ser um login da Microsoft, tentando roubar as credenciais do usuário.
Embora o objetivo final deste ataque de phishing não seja novidade, seu uso de documentos Word corrompidos é uma tática inovadora usada para evitar a detecção.
"Embora esses arquivos funcionem com sucesso dentro do SO, eles permanecem não detectados pela maioria das soluções de segurança devido à falha em aplicar procedimentos adequados para seus tipos de arquivo", explica a Any.Run.
Eles foram enviados para o VirusTotal, mas todas as soluções antivírus retornaram 'limpo' ou 'Item Não Encontrado', pois não conseguiram analisar o arquivo adequadamente.
Esses anexos tiveram bastante sucesso em alcançar seu objetivo.
Dos anexos compartilhados e usados nesta campanha, quase todos não tiveram detecções [1, 2, 3, 4] no VirusTotal, com apenas alguns [1] detectados por 2 fornecedores.
Ao mesmo tempo, isso também pode ser causado pelo fato de que nenhum código malicioso foi adicionado aos documentos, e eles simplesmente exibem um QR code.
As regras gerais ainda se aplicam para se proteger contra este ataque de phishing.
Se você receber um e-mail de um remetente desconhecido, especialmente se contiver anexos, ele deve ser deletado imediatamente ou confirmado com um administrador de rede antes de ser aberto.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...