最新网络钓鱼活动利用损坏的 Word 文档来规避检测

主要观点总结

文章介绍了一种新型网络钓鱼攻击，该攻击利用 Microsoft Word 文档的恢复功能，发送故意损坏的 Word 文档作为电子邮件附件，以绕过安全软件。这些附件使用广泛的主题，几乎全部围绕员工福利和奖金。当受害者尝试打开这些附件时，Word 会提示文件已损坏并询问是否要恢复。一旦恢复，这些文档会显示一个二维码，引导受害者访问一个假冒的 Microsoft 登录页面，企图窃取用户的凭据。这种攻击方式使用了一种新策略来逃避检测，并且由于大多数安全解决方案无法正确分析这些文件，它们在 VirusTotal 上的检测量较低。

关键观点总结

关键观点1: 新型网络钓鱼攻击利用 Microsoft Word 文档的恢复功能

攻击者发送故意损坏的 Word 文档作为电子邮件附件，以绕过安全软件。这些附件使用广泛的主题，如员工福利和奖金。

关键观点2: Word 文档恢复后的二维码引导

当受害者尝试打开这些损坏的文档时，会显示一个二维码。扫描该二维码会将用户带到一个假冒的 Microsoft 登录页面，企图窃取用户的凭据。

关键观点3: 逃避检测的新策略

这种网络钓鱼攻击使用了一种新策略来逃避检测，由于未能对其文件类型应用正确的程序，大多数安全解决方案仍然无法检测到它们。

关键观点4: 防病毒解决方案的检测情况

这些附件在 VirusTotal 上的检测量较低，可能是因为文档中没有添加恶意代码，仅显示二维码。

关键观点5: 安全建议

收到来自未知发件人的电子邮件，尤其是包含附件的电子邮件，应立即删除或在打开之前与网络管理员确认，以保护用户免受网络钓鱼攻击。

文章预览

新出现的网络钓鱼攻击滥用 Microsoft 的 Word 文件恢复功能，将损坏的 Word 文档作为电子邮件附件发送，使它们能够绕过安全软件，但仍可由应用程序恢复。 威胁者不断寻找新方法来绕过电子邮件安全软件并将网络钓鱼电子邮件放入目标的收件箱中。恶意软件狩猎公司 Any.Run 发现了一种新的网络钓鱼活动，利用故意损坏的 Word 文档作为电子邮件中的附件。 网络钓鱼电子邮件 这些附件使用广泛的主题，几乎全部围绕员工福利和奖金。打开附件时，Word 将检测到文件已损坏，并指出它在文件中“发现不可读的内容”，询问您是否要恢复它。 通过网络钓鱼电子邮件发送的 Word 文档已损坏 这些网络钓鱼文档的损坏方式很容易恢复，并显示一个文档，告诉目标扫描二维码以检索文档。如下所示，这些文档都带有目标公司的徽标，例如下面所示的示例： 修复后 ………………………………