Pesquisadores de segurança cibernética estão investigando uma nova campanha de phishing que explora documentos corrompidos do Microsoft Office e arquivos ZIP para evitar a detecção por defesas de e-mail e software antivírus. Ativa pelo menos desde agosto de 2024, essa estratégia de ataque permite que e-mails maliciosos contornem os filtros de spam e cheguem diretamente aos usuários.
Especialistas em segurança cibernética descobrem nova tática de phishing usando arquivos corrompidos
A campanha opera enviando e-mails com anexos corrompidos intencionalmente. O estado corrompido impede que esses arquivos sejam verificados de forma eficaz pelas ferramentas de segurança, permitindo que eles ignorem os alertas antivírus. De acordo com QUALQUER.EXECUTARo malware tira proveito dos recursos de recuperação integrados em programas como Microsoft Word e WinRAR, permitindo que arquivos corrompidos sejam abertos sem acionar avisos de segurança imediatos.
Os e-mails muitas vezes prometem benefícios enganosos, atraindo os destinatários com reclamações relacionadas a bônus de funcionários e notificações de RH. Os documentos maliciosos incorporam códigos QR que redirecionam as vítimas para sites fraudulentos, o que pode levar ao roubo de credenciais ou à instalação de malware. As verificações de segurança revelam que quando os anexos são carregados em serviços como o VirusTotal, eles normalmente não geram nenhum alerta de conteúdo malicioso, complicando ainda mais os esforços de detecção.
Essa estratégia representa um desafio único ao criar documentos corrompidos o suficiente para contornar verificações de segurança automatizadas, mas acessíveis o suficiente para serem abertos pelos usuários. A utilização inteligente dos bónus e benefícios prometidos aos funcionários como isco expõe vulnerabilidades na formação no local de trabalho, sublinhando a necessidade de as organizações melhorarem os programas de sensibilização para a segurança. Essa formação deve abordar ameaças específicas como estas para ajudar os funcionários a reconhecer e evitar serem vítimas destes esquemas bem concebidos.
Os registos mostram que a metodologia utilizada nesta campanha de phishing não é totalmente inédita. Táticas semelhantes surgiram em ataques anteriores, com agentes mal-intencionados frequentemente encontrando maneiras exclusivas de ocultar malware em arquivos aparentemente inócuos. Técnicas como documentos incorporados em macro e arquivos poliglotas destacam uma tendência mais ampla em que os invasores utilizam métodos pouco ortodoxos para evitar a detecção.
Os anexos corrompidos nesta campanha são projetados especificamente para contornar ambientes sandbox que muitas organizações empregam para testes de segurança. Esses ambientes dependem de estruturas de arquivos que podem fazer com que a corrupção seja ignorada. Assim, quando um usuário tenta recuperar o documento, ele aciona involuntariamente o programa malicioso.
Apesar da utilização de técnicas avançadas de filtragem por muitos serviços de e-mail, a campanha demonstra que ainda existem lacunas nestes sistemas. ANY.RUN enfatiza que embora os arquivos operem sem serem sinalizados como maliciosos, a interatividade na detecção desses tipos de arquivos corrompidos é essencial. As soluções de segurança lutam para lidar com códigos QR de forma eficaz e, muitas vezes, a combinação de tais táticas aumenta o risco para os usuários.
Com a crescente popularidade dos códigos QR, muitos invasores estão agora incorporando links nesses códigos para ocultar ainda mais suas intenções maliciosas.
Crédito da imagem em destaque: Microsoft
A postagem Esses documentos do Word de aparência inocente estão escondendo um segredo perigoso apareceu pela primeira vez no TechBriefly.
Source: Esses documentos do Word de aparência inocente estão escondendo um segredo perigoso