Фішингові атаки стають дедалі витонченішими. Нещодавно зловмисники почали використовувати функцію відновлення файлів у Microsoft Word для обходу систем безпеки.

Про це повідомляє Bleeping Computer.

Як працює схема

Експерти з кібербезпеки Any.Run виявили нову кампанію, у межах якої зловмисники надсилають електронні листи із вкладеними пошкодженими файлами Word. Листи зазвичай маскуються під повідомлення від відділів кадрів або пов’язані з фінансовими питаннями, наприклад, нарахування зарплат чи бонусів.

Приклади назв файлів:

• Annual_Benefits_&Bonus_for[name]IyNURVhUTlVNUkFORE9NNDUjIw_.docx
• Benefits_&Bonus_for[name]IyNURVhUTlVNUkFORE9NNDUjIw_.docx.bin
• Due_&Payment_for[name]IyNURVhUTlVNUkFORE9NNDUjIw_.docx.bin

У цих файлах вбудований рядок, закодований у Base64: "IyNURVhUTlVNUkFORE9NNDUjIw", що розшифровується як "##TEXTNUMRANDOM45##".

Коли користувач відкриває такий документ, Word повідомляє про його пошкодження й пропонує відновити файл. Після відновлення в документі з’являється QR-код, що веде на підроблений сайт.

Мета атаки

QR-код скеровує користувача на фішингову сторінку, яка виглядає як форма входу в обліковий запис Microsoft. Мета — викрасти облікові дані жертви.

Обхід систем безпеки

Зловмисники використовують цю техніку, щоб залишатися непоміченими антивірусними програмами. Оскільки файли не містять безпосередньо шкідливого коду, антивірусне програмне забезпечення зазвичай визначає їх як безпечні. У більшості випадків антивіруси видають результати на кшталт «Чисто» або «Об’єкт не знайдено».

Цей метод стає дедалі популярнішим, оскільки дозволяє зловмисникам ефективно викрадати дані, залишаючись поза увагою систем захисту

Нагадаємо, Штучний інтелект тепер може відтворювати особистість людини після двогодинного інтерв’ю

Юлія Педюк  - pravdatutnews.com