Campaña de phishing utiliza documentos de Word corruptos para evadir seguridad

Iniciado por AXCESS, Diciembre 02, 2024, 01:44:09 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un nuevo ataque de phishing abusa de la función de recuperación de archivos de Word de Microsoft al enviar documentos de Word dañados como archivos adjuntos de correo electrónico, lo que les permite eludir el software de seguridad debido a su estado dañado, pero aún así ser recuperables por la aplicación.

Los actores de amenazas buscan constantemente nuevas formas de eludir el software de seguridad de correo electrónico y hacer que sus correos electrónicos de phishing lleguen a las bandejas de entrada de los objetivos.

Una nueva campaña de phishing descubierta por la empresa de búsqueda de malware No tienes permitido ver enlaces. Registrate o Entra a tu cuenta utiliza documentos de Word dañados intencionalmente como archivos adjuntos en correos electrónicos que simulan ser de departamentos de nóminas y recursos humanos.

Phishing email
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Estos archivos adjuntos utilizan una amplia gama de temas, todos relacionados con los beneficios y bonificaciones de los empleados. incluyendo:

Beneficios_anuales_y_bonificaciones_para_[nombre]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx

Beneficios_anuales_y_bonificaciones_para_[nombre]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin

Beneficios_y_bonificaciones_para_[nombre]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin

Due_&_Payment_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin

Beneficios_y_bonificaciones_para_[nombre]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin

Todos los documentos de esta campaña incluyen la cadena codificada en base64 "IyNURVhUTlVNUkFORE9NNDUjIw", que se decodifica como "##TEXTNUMRANDOM45##".

Al abrir los archivos adjuntos, Word detectará que el archivo está dañado y dirá que "encontró contenido ilegible" en el archivo, preguntándole si desea recuperarlo.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Estos documentos de phishing están dañados de tal manera que son fácilmente recuperables, mostrando un documento que le indica al objetivo que escanee un código QR para recuperar un documento. Como puede ver a continuación, estos documentos están marcados con los logotipos de la empresa atacada, como la campaña dirigida al Daily Mail que se muestra a continuación.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Al escanear el código QR, el usuario será llevado a un sitio de phishing que pretende ser un inicio de sesión de Microsoft e intenta robar las credenciales del usuario.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Si bien el objetivo final de este ataque de phishing no es nada nuevo, el uso de documentos de Word dañados es una táctica novedosa que se utiliza para evadir la detección.

"Aunque estos archivos funcionan correctamente dentro del sistema operativo, la mayoría de las soluciones de seguridad no los detectan debido a que no se aplican los procedimientos adecuados para sus tipos de archivos", explica No tienes permitido ver enlaces. Registrate o Entra a tu cuenta.

"Se cargaron en VirusTotal, pero todas las soluciones antivirus devolvieron el resultado "limpio" o "Elemento no encontrado" porque no pudieron analizar el archivo correctamente".

Estos archivos adjuntos han tenido bastante éxito en lograr su objetivo.

De los archivos adjuntos compartidos con BleepingComputer y utilizados en esta campaña, casi todos tienen cero detecciones en VirusTotal, y solo algunos fueron detectados por 2 proveedores.

Al mismo tiempo, esto también podría deberse al hecho de que no se haya agregado ningún código malicioso a los documentos y simplemente muestren un código QR.

Las reglas generales aún se aplican para protegerse contra este ataque de phishing.

Si recibe un correo electrónico de un remitente desconocido, especialmente si contiene archivos adjuntos, debe eliminarlo inmediatamente o confirmarlo con un administrador de red antes de abrirlo.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta