Um novo ataque de phishing explora o recurso de recuperação de arquivo do Microsoft Word ao enviar documentos Word corrompidos como anexos de email, permitindo que eles evitem o software de segurança devido ao seu estado danificado, mas ainda assim possam ser recuperados pela aplicação.
Os atores de ameaças estão constantemente à procura de novas maneiras de burlar softwares de segurança de email e fazer com que seus e-mails de phishing cheguem às caixas de entrada dos alvos.
Uma nova campanha de phishing descoberta pela empresa de caça a malwares Any.Run utiliza documentos Word intencionalmente corrompidos como anexos em e-mails que se passam por ser de departamentos de folha de pagamento e recursos humanos.
Esses anexos utilizam uma ampla gama de temas, todos girando em torno de benefícios e bônus para os empregados, incluindo:
Os documentos nesta campanha todos incluem a string codificada em base64 "IyNURVhUTlVNUkFORE9NNDUjIw", que decodifica para "##TEXTNUMRANDOM45##".
Ao abrir os anexos, o Word detectará que o arquivo está corrompido e informará que "encontrou conteúdo ilegível" no arquivo, perguntando se você deseja recuperá-lo.
Esses documentos de phishing são corrompidos de tal forma que são facilmente recuperáveis, exibindo um documento que orienta o alvo a escanear um QR code para recuperar um documento.
Como você pode ver abaixo, esses documentos são marcados com os logotipos da empresa alvo, como a campanha que visa o Daily Mail mostrado abaixo.
Escanear o QR code levará o usuário a um site de phishing que finge ser um login da Microsoft, tentando roubar as credenciais do usuário.
Embora o objetivo final deste ataque de phishing não seja novidade, seu uso de documentos Word corrompidos é uma tática inovadora usada para evitar a detecção.
"Embora esses arquivos funcionem com sucesso dentro do SO, eles permanecem não detectados pela maioria das soluções de segurança devido à falha em aplicar procedimentos adequados para seus tipos de arquivo", explica a Any.Run.
Eles foram enviados para o VirusTotal, mas todas as soluções antivírus retornaram 'limpo' ou 'Item Não Encontrado', pois não conseguiram analisar o arquivo adequadamente.
Esses anexos tiveram bastante sucesso em alcançar seu objetivo.
Dos anexos compartilhados e usados nesta campanha, quase todos não tiveram detecções [1, 2, 3, 4] no VirusTotal, com apenas alguns [1] detectados por 2 fornecedores.
Ao mesmo tempo, isso também pode ser causado pelo fato de que nenhum código malicioso foi adicionado aos documentos, e eles simplesmente exibem um QR code.
As regras gerais ainda se aplicam para se proteger contra este ataque de phishing.
Se você receber um e-mail de um remetente desconhecido, especialmente se contiver anexos, ele deve ser deletado imediatamente ou confirmado com um administrador de rede antes de ser aberto.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...