新型钓鱼攻击手法:使用损坏的Word档案躲过安全检测
最近发现了一种新型钓鱼攻击手法,攻击者巧妙地利用微软 Word的档案修复功能。他们使用损坏的Word档案作为电子邮件附件来进行攻击。这些档案由于处于损坏状态,可以躲过安全软件的检测,但用户仍可以通过应用程序修复并打开它们。
网络犯罪者不断开发新的方法,试图绕过电子邮件安全软件,使钓鱼邮件顺利抵达目标收件箱。
一家海外的网络安全公司揭露了这波新型攻击,发现攻击者使用刻意损坏的Word档案作为附件,并伪装成来自人力资源部门或工资部门的电子邮件。
这些恶意附件使用了多种主题名称,均与员工福利和奖金有关,如:
- Annual_Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw_.docx
- Annual_Q4_Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw_.docx.bin
- Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw_.docx.bin
- Due_&_Payment_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw_.docx.bin
- Q4_Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw_.docx.bin
这些攻击档案包含一个base64编码字符串 “IyNURVhUTlVNUkFORE9NNDUjIw”,解码后显示为 “##TEXTNUMRANDOM45##”。当用户打开附件时,Word会显示提示,指出「发现无法读取的内容」,并询问是否要修复这个已损坏的档案。
这些钓鱼档案经过特殊设计,虽然呈现损坏状态但能轻易修复。修复后会显示一个要求扫描QR码的页面以存取内容,且档案会使用目标企业的标志来增加可信度。当用户扫描QR码后,会被引导至伪造的微软 登录页面,以窃取账户密码。
尽管通过钓鱼攻击窃取账户密码的手法并不新颖,但利用损坏的Word档案来躲避安全检测确实是一项创新手段。这些档案虽然能够在操作系统中正常运行,但安全解决方案却无法正确处理此类档案,从而成功躲避检测。当这些档案上传至VirusTotal时,所有防病毒软件均返回「干净」或「找不到项目」的结果,因为它们无法正确分析档案内容。这种攻击手法在达成目标方面确实非常有效。
要防范此类钓鱼攻击,必须遵循基本的网络安全守则。如果收到来自不明发件人的电子邮件,尤其是包含附件的邮件,应当立即删除,或在打开前先向信息技术部门确认。
请透过即时聊天或发送电子邮件至 sales@dataplugs.com,以了解有关我们DDoS香港高防服务器计划的更多资讯。