Запропонувати статтю right arrow icon
Запропонувати статтю right arrow icon
Запропонувати статтю right arrow icon
  • Головна
  • Новини
  • Новий фішинговий метод використовує пошкоджені документи Word
ProIT: медіа для профі в IT
Приблизно хвилину

Новий фішинговий метод використовує пошкоджені документи Word

author avatar ProIT NEWS

Фішингові кампанії постійно вдосконалюються, і одна з останніх атак використовує функцію відновлення файлів у Microsoft Word.

Зловмисники надсилають пошкоджені документи Word як вкладення до електронних листів, що дозволяє їм обійти системи безпеки через їх пошкоджений стан, але залишити можливість відновлення через сам застосунок. Про це повідомляє Bleeping Computer.

Як працює атака

Фірма з аналізу зловмисного програмного забезпечення Any.Run виявила цю нову фішингову кампанію. Вона полягає в надсиланні електронних листів, що імітують повідомлення від відділів кадрів або щодо надходження зарплат, із вкладеннями пошкоджених документів Word.

Документи мають такі назви:

  • Annual_Benefits_&Bonus_for[name]IyNURVhUTlVNUkFORE9NNDUjIw_.docx.
  • Benefits_&Bonus_for[name]IyNURVhUTlVNUkFORE9NNDUjIw_.docx.bin.
  • Due_&Payment_for[name]IyNURVhUTlVNUkFORE9NNDUjIw_.docx.bin.

Ці файли містять закодований рядок Base64 "IyNURVhUTlVNUkFORE9NNDUjIw," який декодується як "##TEXTNUMRANDOM45##".

Коли користувач відкриває файл, то Word повідомляє, що файл пошкоджений, і пропонує відновити його. Після відновлення документ показує текст із QR-кодом, який скеровує користувача на фішинговий сайт.

Мета атаки

QR-код веде на сайт, що імітує сторінку входу в обліковий запис Microsoft. Таким чином зловмисники намагаються викрасти облікові дані користувачів.

«Хоча такі файли успішно працюють у системі, вони залишаються непоміченими більшістю антивірусних рішень через неправильне оброблення їхнього типу», — пояснили в Any.Run.

Обхід антивірусного захисту

Файли цього типу виявляються ефективними у фішинговій кампанії. Зразки файлів у більшості випадків не виявлялися системами безпеки. Антивіруси повертали результат як «Чисто» або «Об’єкт не знайдено». Основною причиною може бути те, що файли не містять шкідливого коду, а лише QR-код для перенаправлення.

Раніше ми повідомляли, що кіберзлочинці використовують Spotify для розповсюдження зловмисного ПЗ.

Читайте також на ProIT: Фішингові листи дедалі частіше використовують SVG-вкладення для обходу систем виявлення.

Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!

Приєднатися до company logo
Продовжуючи, ти погоджуєшся з умовами Публічної оферти та Політикою конфіденційності.

Контакти: +38066-423-39-13 info@proit.ua