آفیسمحققان امنیت سایبری توجه خود را به یک کمپین فیشینگ جدید جلب کرده‌اند که از اسناد خراب مایکروسافت آفیس و آرشیوهای ZIP به‌عنوان راهی برای دور زدن دفاع ایمیل استفاده می‌کند.

ANY.RUN در مجموعه‌ای از پست‌ها در X می‌گوید[۱]: «حمله مداوم از نرم‌افزار آنتی‌ویروس فرار می‌کند، از آپلود در sandboxها جلوگیری می‌کند، و فیلترهای اسپم Outlook را دور می‌زند و به ایمیل‌های مخرب اجازه می‌دهد به صندوق ورودی شما برسند.»

این فعالیت مخرب مستلزم ارسال ایمیل‌های حاوی آرشیوهای ZIP یا پیوست‌های آفیس است که عمداً خراب شده‌اند به‌گونه‌ای که نمی‌توانند توسط ابزارهای امنیتی اسکن شوند. هدف این پیام‌ها فریب دادن کاربران به باز کردن پیوست‌ها با وعده‌های دروغین مزایا و پاداش‌های کارکنان است.

به‌عبارت‌دیگر، وضعیت خراب فایل‌ها به این معنی است که توسط فیلترهای ایمیل و نرم‌افزارهای آنتی‌ویروس به‌عنوان مشکوک یا مخرب علامت‌گذاری نمی‌شوند.

بااین‌حال، این حمله همچنان کار می‌کند زیرا از مکانیسم‌های بازیابی داخلی برنامه‌هایی مانند Word ،Outlook و WinRAR برای راه‌اندازی مجدد چنین فایل‌های آسیب‌دیده در حالت بازیابی بهره می‌برد.

آفیس

ANY.RUN فاش کرده است که این تکنیک حمله توسط عوامل تهدید حداقل از اوت ۲۰۲۴ به کار گرفته‌شده است و آن را به‌عنوان یک روز صفر بالقوه توصیف می‌کند که برای فرار از شناسایی مورد بهره‌برداری قرار می‌گیرد.

هدف نهایی این حملات فریب دادن کاربران برای باز کردن اسناد به دام انفجاری است، که کدهای QR را تعبیه می‌کنند که هنگام اسکن، قربانیان را برای استقرار بدافزار به وب‌سایت‌های جعلی یا صفحات لاگین جعلی برای سرقت اعتبار هدایت می‌کنند.

این یافته‌ها بار دیگر نشان می‌دهد که چگونه بازیگران بد دائماً به دنبال تکنیک‌هایی هستند که قبلاً دیده نشده بود تا نرم‌افزار امنیتی ایمیل را دور بزنند و اطمینان حاصل کنند که ایمیل‌های فیشینگ آن‌ها در صندوق‌های ورودی هدف‌ها قرار می‌گیرد.

ANY.RUN گفت: «اگرچه این فایل‌ها با موفقیت در سیستم‌عامل کار می‌کنند، اما به دلیل عدم اعمال روش‌های مناسب برای انواع فایل‌هایشان، توسط اکثر راه‌حل‌های امنیتی شناسایی نشده‌اند.»

این فایل توسط ابزارهای امنیتی غیرقابل‌شناسایی باقی می‌ماند، بااین‌حال برنامه‌های کاربر به دلیل مکانیسم‌های بازیابی داخلی که توسط مهاجمان مورد بهره‌برداری قرار می‌گیرند، به‌طور یکپارچه آن را مدیریت می‌کنند.

  منابع

[۱] https://x.com/anyrun_app/status/1861024182210900357

[۲] https://thehackernews.com/2024/12/hackers-use-corrupted-zips-and-office.html