ИБ-специалисты заметили новую фишинговую кампанию, которая злоупотребляет функцией восстановления файлов Word. Атакующие прикладывают к своим письмам умышленно поврежденные документы, что позволяет обойти защитное ПО, ведь файлы повреждены, хотя их и можно восстановить с помощью приложения.
Исследователи Any.Run рассказали, что поврежденные документы и письма замаскированы под послания от HR или отдела по расчету заработной платы. Такие вложения якобы связаны с выплатами и бонусами, которые начислены жертве.
При открытии документов Word обнаруживает, что файл поврежден, сообщает, что «обнаружено нечитаемое содержимое», а затем предлагает восстановить файл.
Фишинговые документы специально повреждаются таким образом, чтобы их можно было легко восстановить. В результате жертва видит брендированное сообщение, в котором ей предлагают отсканировать QR-код, чтобы загрузить документ.
Если пользователь не замечает подвоха и сканирует QR-код, он попадает на фишинговый сайт, который маскируется под сайт Microsoft и пытается похитить учетные данные жертвы.
Специалисты отмечают, что умышленное повреждение документов – это новая тактика, которая позволяет атакующим эффективно уклоняться от обнаружения.
«Хотя эти файлы работают в ОС, они незаметны для большинства защитных решений, так как к ним не применяются соответствующие процедуры, обычные для проверки таких типов файлов, — поясняют эксперты. — Файлы были загружены на VirusTotal, но все антивирусные решения сообщили, что они чисты или “Item Not Found”, поскольку не смогли должным образом проанализировать файл».
Специалисты напоминают, что для защиты от любого фишинга достаточно соблюдать простые правила. К примеру, при получении письма от неизвестного отправителя (особенно если оно содержит вложения) не следует открывать их и переходить по подозрительным ссылкам.
