tgoop.com/it_secur/2480
Last Update:
• Эксперты профильной ИБ-компании Any Run сообщили об обнаружении новой кампании, в рамках которой хакеры проводят массовые фишинговые атаки с применением специально повреждённых файлов Microsoft Word. Подобный подход позволяет атакующим значительно эффективнее красть личные данные пользователей, против которых проводится атака.
• Эксперты говорят, что в большинстве случаев современные системы безопасности почтовых сервисов выполняют автоматическую проверку вложенных в электронные письма файлов на наличие вредоносных составляющих до того, как эти письма достигают получателя. Несмотря на это, если отосланный злоумышленником файл является повреждённым, многие системы защиты почтовых сервисов просто не могут обнаружить в нём вредоносную составляющую и пометить его как «потенциально опасный».
• Внутренние алгоритмы Microsoft Word имеют возможность восстанавливать частично повреждённые и испорченные документы, делая их доступными для чтения. Однако из-за того, что защитные системы почтовых сервисов не осуществляют повторное сканирование после того, как пользователь открывает потенциально вредоносный файл на своём компьютере, жертвам демонстрируется вредоносный контент.
• Заявлено, что в рамках одного из инцидентов пользователи открывали QR-коды в документе Microsoft Word, который был изначально повреждён, из-за чего почтовый сервис не смог его проверить. В случае, если пользователь сканировал этот QR-код, он перенаправлялся на поддельную страницу авторизации в сервисе Microsoft 365.
• Подобные повреждённые файлы могут успешно открываться и работать практически во всех операционных системах, но при этом оставаться вне поля зрения для многих современных средств защиты, в том числе для сервиса VirusTotal. Это связано с тем, что антивирусное программное обеспечение просто не может правильно исследовать такие повреждённые и потенциально вредоносные файлы.
#Новости
