专门从事网络钓鱼的黑客正在采用新策略进行创新。为了逃避防病毒软件,他们现在使用损坏的 Microsoft Word 文件,这些文件将利用文字处理软件的功能。随后,他们使用二维码窃取目标的标识符……
网络犯罪分子开发了一种全新的网络钓鱼策略。 Any.Run 安全研究人员确实意识到黑客现在正在使用损坏的 Word 文件绕过安全机制并欺骗用户。这一攻势很大程度上依赖于微软的Word文件恢复功能。
🚨警报:潜在的零日攻击,攻击者使用损坏的文件来逃避检测 🧵 (1/3)
⚠️躲避正在进行的攻击#防病毒软件软件,防止上传到沙箱,并绕过 Outlook 的垃圾邮件过滤器,允许恶意电子邮件到达您的收件箱这#ANYRUN团队…pic.twitter.com/0asnG72Gm9
— ANY.RUN (@anyrun_app)2024 年 11 月 25 日
此功能允许您恢复丢失的文档或损坏。它在程序意外关闭、崩溃、意外删除或文件损坏的情况下非常有用。通过依靠此功能,黑客找到了一种在不提醒防病毒软件的情况下进入受害者计算机的方法。
无法读取内容和二维码
最初,网络犯罪分子会通过电子邮件联系受害者。据我们的同事报道电脑发出蜂鸣声,黑客冒充人力资源或支付服务。电子邮件使用主题“例如员工福利和奖金”消除接受者的不信任。他们将 Word 文档附加到电子邮件中。
由于对收到金钱的前景感兴趣,目标会在计算机上打开附件。微软Word将直接检测到它是否已损坏或损坏。文字处理软件会警告用户“内容不可读”在文档中被挖掘出来。在目标同意的情况下,Word 将尝试恢复文件的内容。微软通过询问用户是否“相信这份文件的来源”。不幸的是,这个警告很容易被忽视……
一旦 Word 检索到该文件,受害者就会在文档中发现二维码。一条短信显然会邀请目标使用智能手机扫描此代码。这个将要打开网络钓鱼页面它使用 Microsoft 站点的界面。该页面将要求用户输入用户名和密码才能访问 Microsoft 服务。这就是陷阱关闭的地方。黑客获取数据并可以用它来策划其他网络攻击。
落入陷阱的防病毒软件
通过结合使用损坏的 Word 文件和一个简单的二维码,网络犯罪分子设法愚弄大多数防病毒软件。确实,恶意文档“由于未能对其文件类型应用适当的程序,大多数安全解决方案仍未检测到””,Any.Run 在他的 X 帐户 The Pirates 上解释道。“试图通过故意损坏文件类型来隐藏文件类型,使其难以被某些安全工具检测到”:
“它们已上传到 VirusTotal,但所有防病毒解决方案都返回“干净”或“未找到项目”,因为它们无法正确扫描文件”。
与往常一样,我们建议您永远不要打开未知电子邮件地址发送的附件文档。即使您的防病毒软件在打开文件时没有反应,您也有落入陷阱的风险。此外,我们提醒您,如果您不信任发件人,请不要扫描二维码。这些可以将您重定向到恶意网站。
