Πώς οι χάκερ χρησιμοποιούν κατεστραμμένα αρχεία του Microsoft Office για να ξεγελάσουν τους πάντες

Κατεστραμμένα έγγραφα του Microsoft Office και αρχεία ZIP χρησιμοποιούνται σε μια καμπάνια phishing που αποφεύγει τον εντοπισμό ιών, σύμφωνα με ΟΠΟΙΑΔΗΠΟΤΕ.ΤΡΕΞΕ. Αυτή η τακτική, που χρησιμοποιείται τουλάχιστον από τον Αύγουστο του 2024, περιλαμβάνει σκόπιμη καταστροφή αρχείων για να παρακάμψει τα μέτρα ασφαλείας email ενώ παράλληλα διευκολύνει την ανάκτηση κακόβουλου περιεχομένου.

Κατεστραμμένα αρχεία του Microsoft Office που χρησιμοποιούνται σε νέα τακτική phishing

Το ANY.RUN ανέφερε ότι τα κατεστραμμένα έγγραφα έχουν δημιουργηθεί για να περνούν από φίλτρα email και λογισμικό προστασίας από ιούς, επιτρέποντας στα μηνύματα ηλεκτρονικού ψαρέματος να προσεγγίζουν στοχευμένους χρήστες. Σε αντίθεση με το συμβατικό κακόβουλο λογισμικό, αυτά τα αρχεία δεν επισημαίνονται ως ύποπτα λόγω της κατεστραμμένης τους κατάστασης, η οποία εμποδίζει τις δυνατότητες σάρωσης. Η καμπάνια ηλεκτρονικού ψαρέματος χρησιμοποιεί κωδικούς QR εντός εγγράφων για να οδηγήσει τους χρήστες σε δόλιες σελίδες σύνδεσης λογαριασμού Microsoft, μιμούμενοι τη νόμιμη επικοινωνία σχετικά με τα μπόνους και τα οφέλη των εργαζομένων.

Δείγματα αυτών των εγγράφων, που αναλύθηκαν από το ANY.RUN, έδειξαν ότι τα συνημμένα που παραδίδονται με αυτόν τον τρόπο συχνά δεν παρέχουν κακόβουλες σημαίες όταν ελέγχονται με το VirusTotal. Οι απατεώνες έχουν αναπτύξει κατεστραμμένα έγγραφα ειδικά σχεδιασμένα για να αποφεύγουν τα φίλτρα περιεχομένου, διατηρώντας ταυτόχρονα αρκετή ακεραιότητα ώστε το Microsoft Word να τα ανακτήσει.

Τα κακόβουλα αρχεία που χρησιμοποιούνται σε αυτήν την καμπάνια έχουν σχεδιαστεί για να εκμεταλλεύονται τις λειτουργίες ανάκτησης του Microsoft Word και του WinRAR. Με το χειρισμό της ακεραιότητας των αρχείων, οι εισβολείς διασφαλίζουν ότι όταν οι χρήστες ανοίγουν αυτά τα έγγραφα, οι ενσωματωμένες δυνατότητες ανάκτησης καθιστούν τα αρχεία αναγνώσιμα, καλύπτοντας έτσι την κακόβουλη πρόθεσή τους. Αυτή η τεχνική επιτρέπει αποτελεσματικά στους εισβολείς να παρακάμψουν τις παραδοσιακές μεθόδους σάρωσης στις οποίες βασίζονται πολλά λογισμικά ασφαλείας.

Οι έρευνες έχουν εντοπίσει αυτό ως μια πιθανή εκμετάλλευση μηδενικής ημέρας, αποδεικνύοντας μια εξελιγμένη κατανόηση της μηχανικής λογισμικού από τους παράγοντες απειλών. Ο στόχος παραμένει ξεκάθαρος: οι χρήστες εξαπατούν να ανοίξουν αυτά τα κατεστραμμένα αρχεία, οδηγώντας στην ενεργοποίηση ενσωματωμένων κωδικών QR που τους ανακατευθύνουν σε ψεύτικους ιστότοπους που έχουν σχεδιαστεί για τη συλλογή διαπιστευτηρίων ή την παράδοση κακόβουλου λογισμικού.

Οι ειδικοί σε θέματα ασφάλειας τονίζουν τη σημασία της ευαισθητοποίησης των χρηστών ενόψει των ολοένα και πιο περίπλοκων προσπαθειών phishing. Ο Grimes τόνισε την ανάγκη για εκπαίδευση ευαισθητοποίησης σχετικά με την ασφάλεια σε οργανισμούς, ειδικά όταν οι επικοινωνίες για συγκεκριμένους ρόλους, όπως τα μπόνους των εργαζομένων, χρησιμεύουν ως δόλωμα για συστήματα phishing. «Δεν θέλετε οι πραγματικοί απατεώνες να είναι οι μόνοι που θα ψάρεμα τους συναδέλφους σας με αυτόν τον τρόπο», δήλωσε.

Τα ενεργά μέτρα για την καταπολέμηση αυτών των απειλών περιλαμβάνουν τη βελτίωση των δυνατοτήτων φιλτραρίσματος email για τον εντοπισμό προτύπων καταστροφής αρχείων ή ύποπτου περιεχομένου που ενδέχεται να μην ενεργοποιούν παραδοσιακές ειδοποιήσεις ασφαλείας. Τα τελευταία χρόνια, στρατηγικές όπως ο αποκλεισμός μακροεντολών σε έγγραφα του Microsoft Office έχουν εφαρμοστεί για τον μετριασμό των κινδύνων από παρόμοιες μεθόδους εκμετάλλευσης αρχείων. Η συνεχής εξέλιξη των τακτικών phishing, όπως η ενσωμάτωση κακόβουλων συνδέσμων σε κώδικες QR, απαιτεί προσαρμοστικές στρατηγικές τόσο από επαγγελματίες στον τομέα της κυβερνοασφάλειας όσο και από οργανισμούς.

Ο αυξανόμενος επιπολασμός του ηλεκτρονικού ψαρέματος κώδικα QR, γνωστός και ως «quishing», προσθέτει ένα άλλο επίπεδο περιπλοκής, με πολλούς χρήστες να αγνοούν τους κινδύνους που συνδέονται με τη σάρωση κωδικών. Οι λύσεις κυβερνοασφάλειας εξοπλίζονται με βελτιωμένα μέτρα ανίχνευσης κωδικών QR, ωστόσο η πολυπλοκότητα των απειλών σημαίνει ότι τα πιθανά τρωτά σημεία παραμένουν.

Πίστωση επιλεγμένης εικόνας: Sasun Bughdaryan/Unsplash