Специалисты по кибербезопасности из компании Any.Run выявили новую изощренную фишинговую кампанию, в которой злоумышленники используют намеренно поврежденные документы Microsoft Word для обхода систем безопасности. Данная техника позволяет атакующим эффективно избегать обнаружения традиционными средствами защиты, создавая серьезную угрозу для корпоративной безопасности.
Механизм атаки и социальная инженерия
Злоумышленники рассылают электронные письма, замаскированные под официальную корреспонденцию от HR-отделов или бухгалтерии. Сообщения содержат вложения, якобы связанные с начислением заработной платы или бонусов. При открытии намеренно поврежденного документа Word выводит стандартное уведомление об ошибке с предложением восстановить файл.
Техническая реализация и обход защиты
Особенность данной атаки заключается в том, что поврежденные документы специально подготовлены для гарантированного восстановления. После процедуры восстановления жертва видит профессионально оформленное сообщение с QR-кодом, якобы необходимым для загрузки документа. При сканировании кода пользователь перенаправляется на фишинговый сайт, имитирующий официальный ресурс Microsoft, где происходит попытка кражи учетных данных.
Эффективность обхода средств защиты
Исследователи отмечают высокую эффективность данной тактики в обходе систем безопасности. Анализ на платформе VirusTotal показал, что антивирусные решения не способны корректно проанализировать поврежденные файлы, маркируя их как безопасные или выдавая ошибку «Item Not Found». Это происходит из-за того, что стандартные процедуры проверки документов не применяются к файлам, определенным как поврежденные.
Рекомендации по защите
Для минимизации рисков компрометации важно следовать базовым правилам информационной безопасности. Необходимо проявлять особую бдительность при получении писем от неизвестных отправителей, особенно содержащих вложения или требующих срочных действий. Следует избегать открытия подозрительных файлов и перехода по непроверенным ссылкам. Рекомендуется внедрить многофакторную аутентификацию и регулярно проводить обучение сотрудников по вопросам кибербезопасности.
Данная фишинговая кампания демонстрирует постоянную эволюцию методов социальной инженерии и необходимость комплексного подхода к обеспечению информационной безопасности. Организациям следует регулярно обновлять политики безопасности и инвестировать в современные средства защиты, способные противостоять новым типам угроз.
