一種新型的網(wǎng)絡(luò)釣魚攻擊利用了微軟Word文件恢復(fù)功能，通過發(fā)送損壞的Word文檔作為電子郵件附件，使它們能夠因為損壞狀態(tài)而繞過安全軟件，但仍然可以被應(yīng)用程序恢復(fù)。

威脅行為者不斷尋找新的方法來繞過電子郵件安全軟件，將他們的網(wǎng)絡(luò)釣魚郵件送達(dá)到目標(biāo)收件箱。由惡意軟件狩獵公司Any.Run發(fā)現(xiàn)的一個新的網(wǎng)絡(luò)釣魚活動，使用故意損壞的Word文檔作為電子郵件附件，這些郵件偽裝成來自工資單和人力資源部門。

這些附件使用了一系列主題，都圍繞著員工福利和獎金，包括：

Annual_Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx
Annual_Q4_Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin
Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin
Due_&_Payment_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin
Q4_Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin
這些文檔中都包含了Base64編碼的字符串"IyNURVhUTlVNUkFORE9NNDUjIw," 解碼后為"##TEXTNUMRANDOM45##"。

當(dāng)打開附件時，Word會檢測到文件已損壞，并提示文件中“發(fā)現(xiàn)無法讀取的內(nèi)容”，詢問是否要恢復(fù)它。

這些網(wǎng)絡(luò)釣魚文檔損壞的方式使得它們很容易被恢復(fù)，顯示一個文檔告訴目標(biāo)掃描一個二維碼以檢索文檔。如下所示，這些文檔被標(biāo)記為目標(biāo)公司的徽標(biāo)，例如下面展示的針對Daily Mail的活動。

掃描二維碼將用戶帶到一個網(wǎng)絡(luò)釣魚網(wǎng)站，該網(wǎng)站偽裝成微軟登錄頁面，試圖竊取用戶的憑證。

雖然這次網(wǎng)絡(luò)釣魚攻擊的最終目標(biāo)并不新鮮，但其使用損壞的Word文檔是一種新穎的規(guī)避檢測手段。

"盡管這些文件在操作系統(tǒng)中運行成功，但由于未能為它們的文件類型應(yīng)用適當(dāng)?shù)某绦?，它們?nèi)匀晃幢淮蠖鄶?shù)安全解決方案檢測到，"Any.Run解釋道。

“它們被上傳到VirusTotal，但所有防病毒解決方案都返回了'clean'或'Item Not Found'，因為它們無法正確分析文件?！?/p>

這些附件在實現(xiàn)目標(biāo)方面相當(dāng)成功。從與BleepingComputer分享的附件和在這次活動中使用的附件來看，幾乎所有的在VirusTotal上的檢測結(jié)果都是零[1, 2, 3, 4]，只有一些[1]被2個供應(yīng)商檢測到。

同時，這也可能是因為文檔中沒有添加惡意代碼，它們只是顯示了一個二維碼。保護(hù)自己不受這種網(wǎng)絡(luò)釣魚攻擊的一般規(guī)則仍然適用。如果你收到了一個未知發(fā)件人的電子郵件，特別是如果它包含附件，應(yīng)立即刪除或在打開前與網(wǎng)絡(luò)管理員確認(rèn)。

參考來源：https://www.bleepingcomputer.com/news/security/novel-phising-campaign-uses-corrupted-word-documents-to-evade-security/