新しいフィッシング攻撃は、マイクロソフト社のWordファイル回復機能を悪用し、破損したWord文書を電子メールの添付ファイルとして送信するものである。
攻撃者は、メール・セキュリティ・ソフトウェアを回避し、ターゲットの受信トレイにフィッシング・メールを送り込む新しい方法を常に探しています。
マルウェア・ハンティング会社Any.Runが発見した新たなフィッシング・キャンペーンでは、意図的に破損させたWord文書を添付ファイルとして使用し、給与や人事部門からのメールを装っています。
これらの添付ファイルは、従業員の福利厚生やボーナスを中心に、以下のような幅広いテーマを使用しています:
Annual_Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx Annual_Q4_Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin Due_&_Payment_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin Q4_Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin
このキャンペーンの文書はすべて、base64エンコードされた文字列「IyNURVhUTlVNUkFORE9NNDUjIw」を含み、これは「##TEXTNUMRANDOM45##」にデコードされる。
添付ファイルを開くと、Wordはファイルが破損していることを検知し、ファイル内に「読み取り不可能なコンテンツが見つかりました」と表示し、回復を希望するかどうかを尋ねます。
これらのフィッシング文書は、簡単に復元できるように破損しており、ターゲットにQRコードをスキャンして文書を取得するように指示する文書を表示します。以下に示すように、これらの文書には、Daily Mailをターゲットにしたキャンペーンのように、ターゲットにした企業のロゴがブランド化されている。
QRコードをスキャンすると、マイクロソフトのログインを装ったフィッシングサイトが表示され、ユーザーの認証情報を盗み出そうとする。
このフィッシング攻撃の最終的な目的は目新しいものではありませんが、破損したWord文書を使用することで、検知を回避するための斬新な手口です。
“これらのファイルはOS内で正常に動作するものの、ファイルタイプに対する適切な手順が適用されていないため、ほとんどのセキュリティ・ソリューションで検出されないままである “とAny.Runは説明している。
“VirusTotalにアップロードされましたが、すべてのアンチウイルスソリューションは、ファイルを適切に分析することができなかったため、”クリーン “または “アイテムが見つかりません “を返しました。
これらの添付ファイルは、目的を達成することにかなり成功している。
このキャンペーンで共有され、使用された添付ファイルから、ほとんどすべてがVirusTotalでゼロ検出[1,2,3,4]であり、2つのベンダーによって検出された[1]があるのみです。
同時に、これは文書に悪意のあるコードが追加されておらず、単にQRコードが表示されていることが原因である可能性もあります。
このフィッシング攻撃から身を守るためには、一般的なルールがそのまま適用されます。
見知らぬ送信者から電子メールを受信した場合、特に添付ファイルが含まれている場合は、すぐに削除するか、ネットワーク管理者に確認してから開くべきである。
Comments