Microsoft Word が高リスクのフィッシング詐欺を助長
最近発見されたフィッシング詐欺では、破損した Microsoft Word ファイルを悪用してセキュリティ メカニズムを回避し、ログイン情報を収集します。
この憂慮すべき攻撃は、Any. Runのサイバーセキュリティ専門家によって特定されました。専門家らは、攻撃者が給与計算や人事部門の代表者になりすまし、従業員のボーナスや福利厚生などさまざまな主題を利用している、と報告しています。
たとえば、「Annual_Benefits_&Bonus_for[name]IyNURVhUTlVNUkFORE9NNDUjIw_.docx」のような名前のファイルは、破損しているように見せるために特別に操作されています。これらのドキュメントには、base64 でエンコードされた文字列が含まれており、これは「##TEXTNUMRANDOM45##」にデコードされます。
これらのドキュメントを開くと、Microsoft Word はユーザーに破損を警告しますが、一部のテキストは復元できます。このテキストは、ファイルにアクセスできないことを示し、受信者に、提供された QR コードをスキャンしてコンテンツを取得するように指示します。
これらの文書の信頼性を高めているのは、そのブランディングです。標的となった企業のロゴが掲載され、実際の従業員の写真も含まれています。
QR コードをスキャンすると、偽造された Microsoft ログイン ページが表示され、認証情報が盗み取られることになります。
フィッシング攻撃は目新しいものではありませんが、破損した Word 文書を使用するこの戦術は、検出を逃れるための新しいアプローチを示しています。
Word 文書自体には有害なコードが含まれているわけではなく、認証情報の盗難を目的としたフィッシング サイトにユーザーを誘導する QR コードが含まれていることを理解することが重要です。
では、何ができるでしょうか? 解決策は簡単です。疑わしい電子メールの添付ファイル (最近のセクストーションの試みなど) を開く前に、管理者はこれらの通信を削除するか、確認する必要があります。
🚨警告: 潜在的なゼロデイ、攻撃者は破損したファイルを使用して検出を回避します🧵 (1/3)⚠️ 進行中の攻撃は、 #ウイルス対策ソフトウェアを回避し、サンドボックスへのアップロードを防止し、Outlook のスパムフィルターをバイパスして、悪意のあるメールが受信トレイに届くようにします。#ANYRUNチーム… pic.twitter.com/0asnG72Gm9
— ANY.RUN (@anyrun_app) 2024年11月25日
コメントを残す