Siber güvenlik araştırmacıları, e-posta savunmalarını aşmanın bir yolu olarak bozuk Microsoft Office belgelerinden ve ZIP arşivlerinden yararlanan yeni bir kimlik avı kampanyasına dikkat çekti.
ANY.RUN, X’teki bir dizi gönderisinde “Devam eden saldırı #antivirüs yazılımını atlatıyor, sanal alanlara yüklemeleri engelliyor ve Outlook’un spam filtrelerini atlayarak kötü amaçlı e-postaların gelen kutunuza ulaşmasına olanak tanıyor.” dedi.
Kötü amaçlı etkinlik, güvenlik araçları tarafından taranamayacak şekilde kasıtlı olarak bozulmuş ZIP arşivleri veya Office ekleri içeren e-postaların gönderilmesini gerektirir. Bu mesajlar, çalışanlara sağlanan faydalar ve ikramiyeler gibi sahte vaatlerle kullanıcıları kandırarak ekleri açmalarını sağlamayı amaçlamaktadır.
Başka bir deyişle, dosyaların bozuk durumu, bunların e-posta filtreleri ve antivirüs yazılımı tarafından şüpheli veya kötü amaçlı olarak işaretlenmediği anlamına gelir.
Ancak saldırı hâlâ işe yarıyor çünkü bu tür hasarlı dosyaları kurtarma modunda yeniden başlatmak için Word, Outlook ve WinRAR gibi programların yerleşik kurtarma mekanizmalarından yararlanıyor.
ANY.RUN, saldırı tekniğinin tehdit aktörleri tarafından en azından Ağustos 2024’ten bu yana kullanıldığını ortaya çıkardı ve bunu, tespit edilmekten kaçınmak için istismar edilen potansiyel sıfır gün olarak tanımladı.
Bu saldırıların nihai amacı, kullanıcıları, tarandığında kurbanları kötü amaçlı yazılım dağıtımı için sahte web sitelerine veya kimlik bilgileri hırsızlığı için sahte giriş sayfalarına yönlendiren QR kodları içeren bubi tuzaklı belgeleri açmaya kandırmaktır.
Bulgular, kötü aktörlerin, e-posta güvenlik yazılımını aşmak ve kimlik avı e-postalarının hedefin gelen kutularına ulaşmasını sağlamak için daha önce görülmemiş teknikleri nasıl sürekli olarak aradıklarını bir kez daha gösteriyor.
ANY.RUN, “Bu dosyalar işletim sistemi içinde başarılı bir şekilde çalışsa da, dosya türleri için uygun prosedürlerin uygulanmaması nedeniyle çoğu güvenlik çözümü tarafından tespit edilemiyor.” dedi.
“Dosya güvenlik araçları tarafından tespit edilemiyor, ancak saldırganların kullandığı yerleşik kurtarma mekanizmaları nedeniyle kullanıcı uygulamaları onu sorunsuz bir şekilde yönetiyor.”