新型釣魚攻擊手法:使用損壞的Word檔案躲過安全偵測

網絡安全

最近發現了一種新型釣魚攻擊手法,攻擊者巧妙地利用Microsoft Word的文件修復功能。他們使用損壞的Word文件作為電子郵件附件來進行攻擊。這些文件由於處於損壞狀態,可以躲過安全軟體的檢測,但使用者仍可以透過應用程式修復並開啟它們。

 

網路犯罪者不斷開發新的方法,試圖繞過電子郵件安全軟體,確保釣魚郵件順利抵達目標收件匣。

 

一家海外的網路安全公司揭露了這波新型攻擊,發現攻擊者使用刻意損壞的Word文件作為附件,並偽裝成來自人力資源部門或工資部門的電子郵件。

 

這些惡意附件使用了多種主題名稱,均與員工福利和獎金有關,如:

  • Annual_Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw_.docx
  • Annual_Q4_Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw_.docx.bin
  • Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw_.docx.bin
  • Due_&_Payment_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw_.docx.bin
  • Q4_Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw_.docx.bin

 

這些攻擊文件包含一個base64編碼字符串”IyNURVhUTlVNUkFORE9NNDUjIw”,解碼後顯示為”##TEXTNUMRANDOM45##”。當使用者打開附件時,Word會顯示提示,指出“發現無法讀取的內容”,並詢問是否要修復這個已損壞的文件。

 

這些釣魚文件經過特殊設計,雖然呈現損壞狀態但能輕易修復。修復後會顯示一個要求掃描QR碼的頁面以存取內容,且文件會使用目標企業的標誌來增加可信度。當使用者掃描QR碼後,會被引導至偽造的Microsoft登錄頁面,以竊取帳號密碼。

 

儘管透過釣魚攻擊竊取帳號密碼的手法並不新穎,但利用損壞的Word文件來躲避安全偵測確實是一項創新手段。這些文件雖然能在作業系統中正常運行,但安全解決方案卻無法正確處理此類文件,從而成功躲避偵測。當這些文件上傳至VirusTotal時,所有防毒軟體均回傳「乾淨」或「找不到項目」的結果,因為它們無法正確分析文件內容。這種攻擊手法在達成目標方面確實非常有效。

 

要防範此類釣魚攻擊,必須遵循基本的網路安全守則。如果收到來自不明發件人的電郵,尤其是包含附件的郵件,應立即刪除,或在打開前先向資訊技術部門確認。

 

請透過即時聊天或發送電子郵件至 sales@dataplugs.com,以了解有關我們DDoS高防伺服器服務計劃的更多資訊。

過濾器

核心:
記憶體容量:
儲存容量:

關閉 提交