/https://www.html.it/app/uploads/2024/12/email.jpg "Word: campagna di phishing usa file corrotti per eludere sicurezza")
Un nuovo attacco di phishing sfrutta la funzionalità di recupero file Word di Microsoft inviando documenti Word corrotti come allegati e-mail. Ciò consente di aggirare il software di sicurezza a causa del loro stato danneggiato ma di essere comunque recuperabili dall'applicazione. Gli hacker cercano costantemente nuovi modi per aggirare la sicurezza e far arrivare le loro e-mail di phishing nelle caselle di posta delle vittime. Una nuova campagna di phishing scoperta dall'azienda di sicurezza Any.Run utilizza documenti Word intenzionalmente corrotti come allegati e-mail che fingono di provenire da reparti di paghe e risorse umane. Questi allegati utilizzano un'ampia gamma di temi, tutti incentrati sui benefit e sui bonus per i dipendenti: “Annual_Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx”, “Annual_Q4_Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin”, “Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin”, “Due_&_Payment_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin” e “Q4_Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin”.
Tutti i documenti di questa campagna includono la stringa codificata in base64 "IyNURVhUTlVNUkFORE9NNDUjIw", che si decodifica in "##TEXTNUMRANDOM45##". Quando si aprono gli allegati, Word rileverà che il file è corrotto e dichiarerà di aver "trovato contenuto illeggibile", chiedendo se si desidera recuperarlo. I documenti sono corrotti in modo da essere facilmente recuperabili, visualizzando un documento che dice alla vittima di scansionare un codice QR per trovare il file. Tali file sono inoltre marchiati con i loghi dell'azienda presa di mira. La scansione del codice QR porterà infine l'utente a un sito di phishing che finge di essere un account Microsoft, tentando di rubare le credenziali dell'utente.
Word: allegati non mostrano codice dannoso
Sebbene l'obiettivo di questo attacco di phishing non sia una novità, l'uso di documenti Word corrotti è una nuova tattica utilizzata per eludere il rilevamento. Come rivelato da Any.Run: "Anche se questi file funzionino correttamente all'interno del sistema operativo, rimangono inosservati dalla maggior parte delle soluzioni di sicurezza a causa della mancata applicazione delle procedure appropriate per i loro tipi di file. Sono stati caricati su VirusTotal, ma le soluzioni antivirus hanno restituito ‘pulito’ o ‘Elemento non trovato’ poiché non sono riuscite ad analizzare correttamente il file". Questi allegati hanno avuto un discreto successo nel raggiungere il loro obiettivo. Gli allegati utilizzati in questa campagna, quasi tutti hanno zero rilevamenti su VirusTotal, con solo alcuni rilevati da 2 vendor. Allo stesso tempo, ciò potrebbe anche essere causato dal fatto che nessun codice dannoso è stato aggiunto ai documenti e visualizzano semplicemente un codice QR.
Per proteggersi da tale attacco basta seguire le linee generali, che vanno bene per qualsiasi campagna di phishing. Se si riceve un'e-mail da un mittente sconosciuto, soprattutto se contiene allegati, è necessario eliminarla immediatamente. In alternativa, prima di aprire il file è necessario confermare l’e-mail con un amministratore di rete.
/https://www.html.it/app/uploads/2024/12/nordvpn-cyber-monday.jpg)
/https://www.html.it/app/uploads/2024/11/spam-call.jpg)
/https://www.html.it/app/uploads/2024/11/telemarketing-2-480x300.webp)
/https://www.html.it/app/uploads/2024/11/surfshark-480x300.webp)