Új adathalász módszer: sérült Word dokumentumokat használnak a biztonsági szoftverek kijátszására

kami911 képe

Újfajta adathalász támadás van terjedőben, ami a Microsoft Word sérült fájl helyreállítási funkcióját használja ki, úgy, hogy a fenyegetési szereplők egy sérült Word-dokumentumot csatolnak e-mailekhez. A sérülés miatt a biztonsági szoftverek nem tudják az adathalász tartalmat kiszűrni, azonban a fájl a Word alkalmazással helyreállítható, megnyitható marad.

A kiberbűnözők folyamatosan keresik az újabb és újabb lehetőségeket, hogy kijátsszák az e-maileket ellenőrző biztonsági szoftvereket és az áldozatok postaládájába juttassák adathalász üzeneteiket. Az Any.Run malware elemző cég által felfedezett új adathalász eljárás során szándékosan sérült Word dokumentumokat küldenek e-mailben, amely a bérszámfejtési vagy a HR osztály nevében küldött üzenetek látszatát keltik.

 BleepingComputer

A támadássorozat során a csatolt fájl neve minden esetben tartalmazza a base64 kódolt IyNURVhUTlVNUkFORE9NNDUjIw karaktersort, ami a ##TEXTNUMRANDOM45## szövegre dekódolható.

 BleepingComputer

A sérült csatolmány megnyitásakor a Microsoft Word minden esetben figyelmeztet, hogy sérült a tartalom és felajánlja a javítást.

A helyreállított tartalomban egy QR-kód beolvasására szólítják fel a felhasználót, hogy egy állítólagos dokumentumot elérhessen. A QR-kód mellet gyakran szereplenek vállalati logók, hogy növeljék a dokumentum hitelességét.

 BleepingComputer

A QR-kód beolvasása egy olyan adathalász webhelyre irányítja a gyanútlan felhasználót, amely a Microsoft bejelentkezési oldalát másolja és a hitelesítő adatokat próbálja megszerezni.

 BleepingComputer

Ez az új adathalász módszer kreatív és hatékony, hisz a legtöbb biztonsági megoldás – sérült fájl esetén – nem érzékeli az adathalász tartalmat. Az Any.Run szakértői szerint a védelmi rendszerek fájl feldolgozási hiányosságai miatt ezek a tartalmak „tisztának” vagy „nem található” állapotúnak jelennek meg.

A szakértők feltöltötték a csatolmányokat a VirusTotal platformra is, ahol a vizsgálat során szinte semmilyen káros kódot nem azonosítottak. Mindössze két esetben érkezett figyelmeztetés, amely kizárólag a QR-kód jelenlétére vonatkozott.

Az adathalászat a már ismert szabályokkal megelőzhető:

Ismeretlen feladó e-mailjeit ne nyisd meg, különösen, ha azok csatolmányt is tartalmaznak. Az ilyen üzeneteket azonnal töröljük vagy jelezzük az adminisztrátornak.

Ez az új támadási mód a bizonyíték, hogy az adathalászok egyre kifinomultabb technikákat alkalmaznak, a biztonsági rendszerek kijátszására. A most bemutatott módszer még inkább kiemeli a megfelelő oktatás, a tudatosság növelésének és az elővigyázatosság fontosságát mind a szervezetek, mind az egyéni felhasználók számára egyaránt.

(forrás, forrás)

A Word figyelmeztetése Forrás: BleepingComputer
A Word figyelmeztetése Forrás: BleepingComputer
Adathalász email Forrás: BleepingComputer
Adathalász email Forrás: BleepingComputer
Adathalász weboldal Forrás: BleepingComputer
Adathalász weboldal Forrás: BleepingComputer
A javított fájl, ami egy csaló QR kódot jelenít meg Forrás: BleepingComputer
A javított fájl, ami egy csaló QR kódot jelenít meg Forrás: BleepingComputer