一種新型的網(wǎng)絡(luò)釣魚(yú)攻擊利用了微軟Word文件恢復(fù)功能，通過(guò)發(fā)送損壞的Word文檔作為電子郵件附件，使它們能夠因?yàn)閾p壞狀態(tài)而繞過(guò)安全軟件，但仍然可以被應(yīng)用程序恢復(fù)。

威脅行為者不斷尋找新的方法來(lái)繞過(guò)電子郵件安全軟件，將他們的網(wǎng)絡(luò)釣魚(yú)郵件送達(dá)到目標(biāo)收件箱。由惡意軟件狩獵公司Any.Run發(fā)現(xiàn)的一個(gè)新的網(wǎng)絡(luò)釣魚(yú)活動(dòng)，使用故意損壞的Word文檔作為電子郵件附件，這些郵件偽裝成來(lái)自工資單和人力資源部門(mén)。

這些附件使用了一系列主題，都圍繞著員工福利和獎(jiǎng)金，包括：

Annual_Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx
Annual_Q4_Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin
Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin
Due_&_Payment_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin
Q4_Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin
這些文檔中都包含了Base64編碼的字符串"IyNURVhUTlVNUkFORE9NNDUjIw," 解碼后為"##TEXTNUMRANDOM45##"。

當(dāng)打開(kāi)附件時(shí)，Word會(huì)檢測(cè)到文件已損壞，并提示文件中“發(fā)現(xiàn)無(wú)法讀取的內(nèi)容”，詢問(wèn)是否要恢復(fù)它。

這些網(wǎng)絡(luò)釣魚(yú)文檔損壞的方式使得它們很容易被恢復(fù)，顯示一個(gè)文檔告訴目標(biāo)掃描一個(gè)二維碼以檢索文檔。如下所示，這些文檔被標(biāo)記為目標(biāo)公司的徽標(biāo)，例如下面展示的針對(duì)Daily Mail的活動(dòng)。

掃描二維碼將用戶帶到一個(gè)網(wǎng)絡(luò)釣魚(yú)網(wǎng)站，該網(wǎng)站偽裝成微軟登錄頁(yè)面，試圖竊取用戶的憑證。

雖然這次網(wǎng)絡(luò)釣魚(yú)攻擊的最終目標(biāo)并不新鮮，但其使用損壞的Word文檔是一種新穎的規(guī)避檢測(cè)手段。

"盡管這些文件在操作系統(tǒng)中運(yùn)行成功，但由于未能為它們的文件類(lèi)型應(yīng)用適當(dāng)?shù)某绦颍鼈內(nèi)匀晃幢淮蠖鄶?shù)安全解決方案檢測(cè)到，"Any.Run解釋道。

“它們被上傳到VirusTotal，但所有防病毒解決方案都返回了'clean'或'Item Not Found'，因?yàn)樗鼈儫o(wú)法正確分析文件。”

這些附件在實(shí)現(xiàn)目標(biāo)方面相當(dāng)成功。從與BleepingComputer分享的附件和在這次活動(dòng)中使用的附件來(lái)看，幾乎所有的在VirusTotal上的檢測(cè)結(jié)果都是零[1, 2, 3, 4]，只有一些[1]被2個(gè)供應(yīng)商檢測(cè)到。

同時(shí)，這也可能是因?yàn)槲臋n中沒(méi)有添加惡意代碼，它們只是顯示了一個(gè)二維碼。保護(hù)自己不受這種網(wǎng)絡(luò)釣魚(yú)攻擊的一般規(guī)則仍然適用。如果你收到了一個(gè)未知發(fā)件人的電子郵件，特別是如果它包含附件，應(yīng)立即刪除或在打開(kāi)前與網(wǎng)絡(luò)管理員確認(rèn)。

參考來(lái)源：https://www.bleepingcomputer.com/news/security/novel-phising-campaign-uses-corrupted-word-documents-to-evade-security/