Новая фишинговая схема использует поврежденные файлы Word для кражи данных

Исследователи ANY.RUN раскрыли новую фишинговую кампанию, в рамках которой злоумышленники задействовали функция восстановления файлов Word от Microsoft для обхода систем безопасности. Отправляя намеренно поврежденные документы Word в качестве вложений в электронные письма злоумышленники обходят программное обеспечение безопасности, песочницы и спам-фильтры, но при этом приложение все равно способно их восстановить. В новой обнаруженной кампании подобные отправления мимикрируют под уведомления из отделов кадров и бухгалтерии. В целом, используется широкий спектр тем, все из которых вращаются вокруг льгот и бонусов для сотрудников. Все документы наблюдаемой кампании включают строку в кодировке base64 «IyNURVhUTlVNUkFORE9NNDUjIw», которая декодируется в «##TEXTNUMRANDOM45##». При открытии вложений Word идентифицирует поврежденный файл и сообщает, что в файле «обнаружено нечитаемое содержимое», а затем запрашивает его восстановление. При этом фишинговые документы повреждены таким образом, что их легко восстановить, после чего отображается документ с QR-кодом, который следует отсканировать, чтобы получить содержимое. Причем все эти документы брендированы логотипами целевой компании. QR перенаправляет пользователя на фишинговый сайт, оформленный под Microsoft, посредством которого происходит кража учетных данных пользователя. Из всех вложений, использованных в наблюдаемой кампании, большинство имели нулевые сработки [1, 2, 3, 4] на VirusTotal, и только некоторые [1] были детектированы 2 поставщиками. Безусловно, конечная цель такой фишинговой атаки не нова, но использование поврежденных документов Word - это новая тактика, позволяющая избегать обнаружения, которая используется в дикой природе по крайней мере с августа этого года.

Обнаружена новая фишинговая схема, использующая функцию восстановления файлов Word Злоумышленники прикладывают к своим письмам специально повреждённые документы. Это необходимо для обхода защитного программного обеспечения. При открытии документов Word обнаруживает, что документ повреждён, а потом предлагает восстановить файл. При этом фишинговые документы специально повреждаются таким образом, чтобы жертва их могла легко восстановить.

СОФТ ХАКЕРЫ СТАЛИ ПОРТИТЬ ФАЙЛЫ WORD ДЛЯ ВЗЛОМА ПОЛЬЗОВАТЕЛЕЙ Злоумышленники в сети научились намеренно портить офисные документы, чтобы обходить защиту антивируса. Эксперты заметили, что пользователей начали атаковывать, отправляя им на почту фишинговые письма, содержащие поврежденные документы. Подобные файлы открываются программой Word или другими редакторами, однако встроенные системы безопасности и антивирусы часто пропускают их из-за ошибки. Как правило, мошенники рассылают текстовые документы Word и zip-архивы, которые содержат ссылки или QR-коды. Отсканировав их, пользователи попадают на фишинговые сайты, где рискуют потерять свои данные и денежные средства. По словам специалистов Any Run, впервые подобные атаки начали проводить в августе 2024 года. Чтобы похитить данные или деньги пользователей, мошенники обещают им выплаты или иное поощрение. В материале говорится, что владельцы ПК склонны доверять сообщениям, так как присланные файлы не обнаруживают системы безопасности. ФОТО: Glenn Carstens-Peters / Unsplash #аврорамедиа_софт Telegram-экосистема АВРОРА МЕДИА МЕДИА НОВОСТИ РЕГИОН ЛАЙФ СПОРТ ГЕРЛЗ ХАЙТЕК ПЕРСОНЫ ИНСАЙД КРИМИНАЛ МОЛОДОСТЬ LIVE АВРОРА МЕДИА YOUTUBE RUTUBE

Поврежденные документы Word используются для обхода безопасности ИБ-специалисты заметили новую фишинговую кампанию, которая злоупотребляет функцией восстановления файлов Word. Атакующие прикладывают к своим письмам умышленно поврежденные документы, что позволяет обойти защитное ПО, ведь файлы повреждены. Поврежденные документы и письма замаскированы под послания от HR или отдела по расчету заработной платы. Такие вложения якобы связаны с выплатами и бонусами, которые начислены жертве. При открытии документов Word обнаруживает, что файл поврежден, сообщает, что «обнаружено нечитаемое содержимое», а затем предлагает восстановить файл. Если пользователь не замечает подвоха, он попадает на фишинговый сайт, который маскируется под сайт Microsoft и пытается похитить учетные данные жертвы. Специалисты напоминают, что для защиты от любого фишинга достаточно соблюдать простые правила. К примеру, при получении письма от неизвестного отправителя особенно если оно содержит вложения не следует открывать их и переходить по подозрительным ссылкам.

В России запустили в продажу новогодний подарок, который опережает время

Поврежденные документы Word используются для обхода безопасности ИБ-специалисты заметили новую фишинговую кампанию, которая злоупотребляет функцией восстановления файлов Word. Атакующие прикладывают к своим письмам умышленно поврежденные документы, что позволяет обойти защитное ПО, ведь файлы повреждены, хотя их и можно восстановить с помощью приложения.

Вирусы в поломанных doc-файлах, которые не видят антивирусы Сумеречный гений фишинговых рассылок породил новую схему, как обойти защитные решения. Компания Any.Run обнаружила новую фишинговую кампанию, в рамках которой атакующие рассылают битые Word-файлы от лица сотрудников компании. В качестве триггера используются кадровые и зарплатные вопросы. Механизм атаки достаточно прост — антивирусы не распознают зловредное содержимое в намеренно испорченных файлах. При этом, Word радушно предлагает пользователю восстановить файл уже на устройстве. Выглядит это следующим образом. По заверению исследователей Any.Run, такое письмо обходит не только антивирусное ПО, но и спам-фильтры старого-доброго Outlook, в следствие чего может проскочить мимо некоторых sandbox. Интересно что проверка через VirusTotal принесла нулевой результат: ни одно из 62 решений не восприняло такой файл как вредоносный. Все больше свидетельств говорят о том, что использовать только антивирус для личной кибербезопасности уже мало. В идеале нужно уметь пользоваться и песочницей, вроде той же any.run, а также мониторить свои данные в утечках, либо платить за этот сервис компаниям.

Хакеры нашли способ кражи личных данных через Word-файлы, пишет The Hacker News, со ссылкой на специалистов Any Run Фишинговые атаки стали проводить через использование поврежденных файлов Microsoft Word. Если файл поврежден, системы безопасности электронной почты не могут его обнаружить и обозначить как опасный. Microsoft Word может восстановить испорченные документы. Однако на этом этапе защитные системы электронной почты уже не проводят повторное сканирование. Файлы также остаются вне поля зрения большинства средств защиты из-за неспособности антивирусов правильно их исследовать. Пользователям советуют тщательно проверять входящие электронные письма, особенно с подозрительными вложениями.

Безопасно, даю тебе word Эксперты по кибербезопасности сообщили о появлении нового метода фишинговых атак. Для обхода защитных систем и почтовых фильтров мошенники стали использовать Microsoft Word. Обычно фишинговые письма содержат вложения, которые системы безопасности электронной почты проверяют ещё до того, как сообщение попадёт к пользователю. Однако если документ повреждён, защита не может его прочитать или проанализировать, и нередко не маркирует его как опасный. Киберпреступники пользуются этим уязвимым моментом, намеренно повреждая файлы перед отправкой. Современные версии Word успешно восстанавливают повреждённые документы, а защитные инструменты, как правило, не сканируют их заново. В результате пользователю доставляется опасное содержимое — например, QR-код, ведущий на поддельную страницу авторизации Microsoft 365. #новости