Kimlik avcıları, e-posta güvenlik sistemlerini atlatmak için yeni bir yöntem buldu: bozuk MS Office belgeleri.
Spam kampanyası
Kötü amaçlı yazılım avlama hizmeti Any.Run, geçen hafta kullanıcıları ödeme, avantaj ve yıl sonu ikramiye vaatleriyle cezbeden e-posta kampanyaları konusunda uyardı.
Alıcılara ekteki belgeyi (bir arşiv dosyası (ZIP) veya bir MS Office dosyası (örneğin, DOCX)) indirip açmaları talimatı verilir, ancak dosya bozuktur.
Daha sonra uygulama, alıcılardan belgenin içeriğini kurtarmasına izin vermelerini ister.
Belge kurtarmaya izin verme istemi (Kaynak: Any.Run)
Kurtarma işlemi sona erdiğinde ve belge açıldığında, alıcılara “güvenli belgeye” erişmek için belgenin içindeki QR kodunu taramaları talimatı veriliyor.
Ancak bu, potansiyel kurbanları, kullanıcıların farkında olmadan girdiği oturum açma bilgilerini toplamak için oluşturulmuş sahte bir Microsoft oturum açma sayfasına yönlendirmek için yalnızca bir hiledir.
E-posta güvenliği ve antivirüs çözümlerini engellemek için bozuk belgeleri kullanma
Any.Run, “Saldırganlar, Microsoft Word, Outlook veya WinRAR gibi yerleşik kurtarma prosedürlerine sahip ilgili programların bu tür dosyaları sorunsuz bir şekilde işlemesini sağlayacak şekilde ‘hasarlı’ dosyaların kurtarma mekanizmalarından yararlanıyor” diyor.
“Bozuk belge” hilesi, e-posta güvenlik çözümlerini kandırmayı amaçlıyor.
Bozuk dosyalar başlangıçta kötü amaçlı olarak algılanmadı veya VirusTotal hizmetinin kullandığı birkaç antivirüs çözümü tarafından işaretlenmedi. Şirket, “Tüm antivirüs çözümleri, dosyayı düzgün şekilde analiz edemedikleri için ‘temiz’ veya ‘Öğe Bulunamadı’ sonucunu verdi” diye ekledi.
Any.Run, saldırının Ağustos 2024’ten bu yana aktif olduğunu ve devam ettiğini söylüyor. “[It] antivirüs yazılımlarından kaçınır, sanal alanlara yükleme yapılmasını engeller ve Outlook’un spam filtrelerini atlayarak kötü amaçlı e-postaların gelen kutunuza ulaşmasına olanak tanır.”