Uwaga na nowy, skuteczny phishing. Atakujący wysyłają uszkodzone dokumenty MS Office, aby uniknąć wykrycia

Atakujący opracowali nowy sposób na obejście zabezpieczeń poczty e-mail: wysyłają uszkodzone dokumenty MS Office.

W skrócie:

• Podczas analizy uszkodzonego pliku jest on najczęściej identyfikowany jako archiwum ZIP lub plik MS Office.
• Rozwiązania zabezpieczające próbują wyodrębnić zawartość pliku, zakładając, iż muszą przeskanować pliki wewnątrz, przez co ignorują samo archiwum.
• Ponieważ system wyodrębniania nie znajduje żadnych plików w archiwum, odmawia jego zapisania. W efekcie proces skanowania nigdy się nie rozpoczyna.
• Atakujący wykorzystują mechanizmy odzyskiwania „uszkodzonych” plików w sposób, który pozwala odpowiednim programom, takim jak Microsoft Word, Outlook czy WinRAR, z łatwością obsługiwać te pliki mimo ich uszkodzenia.

Szczegóły potencjalnego zero-daya

Usługa wykrywania złośliwego systemu Any.Run ostrzegała w zeszłym tygodniu przed nową falą kampanii phishingowych, które celują w użytkowników, oferując obietnice płatności, korzyści oraz premii związanych z końcem roku.

W ramach tych kampanii odbiorcy otrzymują wiadomości e-mail zawierające załączniki w postaci plików archiwów (ZIP) lub dokumentów MS Office (np. docx). Po pobraniu pliku okazuje się, iż jest on uszkodzony i nie można go otworzyć w tradycyjny sposób. Gdy użytkownik próbuje otworzyć plik, aplikacja prosi o zezwolenie na odzyskanie zawartości dokumentu. Zgoda na tę operację może prowadzić do uruchomienia złośliwego oprogramowania, które zostaje zainstalowane na urządzeniu.

Źródło: Any.Run

Po zakończeniu procesu odzyskiwania i otwarciu dokumentu odbiorcy są zachęcani do zeskanowania zawartego w nim kodu QR, aby uzyskać dostęp do „bezpiecznego dokumentu”. To jednak tylko sztuczka mająca na celu przekierowanie ofiar na fałszywą stronę logowania Microsoft, stworzoną w celu zbierania danych logowania, które nieświadomi użytkownicy wprowadzą.

Używanie uszkodzonych dokumentów do omijania zabezpieczeń poczty e-mail i rozwiązań antywirusowych

„Atakujący wykorzystują mechanizmy odzyskiwania ‚uszkodzonych’ plików w sposób, który sprawia, iż odpowiednie programy, takie jak Microsoft Word, Outlook czy WinRAR, które mają wbudowane procedury odzyskiwania, obsługują te pliki bez problemów” – wyjaśnia Any.Run.

Sztuczka z „uszkodzonym” dokumentem ma na celu oszukanie rozwiązań zabezpieczających pocztę e-mail. Uszkodzone pliki początkowo nie były wykrywane jako złośliwe lub były identyfikowane jako bezpieczne przez jedynie kilka rozwiązań antywirusowych stosowanych w usługach takich jak VirusTotal.

„Wszystkie rozwiązania antywirusowe zwróciły wynik ‚czysty’ lub ‚element nie został znaleziony’, ponieważ nie mogły prawidłowo przeanalizować pliku” – tłumaczy firma.

Any.Run twierdzi, iż atak jest aktywny od sierpnia 2024 r. i wciąż trwa. „Tego typu technika omija oprogramowanie antywirusowe, uniemożliwia przesyłanie plików do piaskownic oraz omija filtry antyspamowe programu Outlook, umożliwiając złośliwym wiadomościom e-mail dotarcie do skrzynki odbiorczej” – zaznacza firma.

Złośliwe oprogramowanie wykorzystujące zaawansowaną inżynierię społeczną – jakie to zagrożenie

Złośliwe oprogramowanie coraz częściej stosuje zaawansowane techniki inżynierii społecznej, aby przechytrzyć zabezpieczenia, takie jak filtry antywirusowe czy systemy ochrony, przed niebezpiecznymi załącznikami. Dzięki tym technikom cyberprzestępcy mogą skutecznie obejść tradycyjne metody ochrony, co pozwala im na zainstalowanie złośliwego systemu na urządzeniu ofiary.

Po zainstalowaniu złośliwy kod może:

• Kraść dane – w tym dane logowania do kont bankowych, dane osobowe, numery kart kredytowych czy dane logowania do innych ważnych usług.
• Uzyskać dostęp do kont bankowych – umożliwiając cyberprzestępcom kradzież środków finansowych lub przejęcie kontroli nad kontami.
• Instalować dodatkowe zagrożenia – takie jak ransomware (oprogramowanie blokujące dostęp do danych do czasu zapłacenia okupu) czy inne rodzaje złośliwego oprogramowania, które mogą prowadzić do jeszcze większych szkód.
• Wykorzystać zainfekowane urządzenie do kolejnych ataków – urządzenie może stać się częścią botnetu (sieci zainfekowanych komputerów), używanego do przeprowadzania kolejnych ataków, takich jak rozsyłanie spamowych wiadomości e-mail, ataki DDoS (rozproszony atak odmowy usługi) czy inne nielegalne działania.

Jak chronić się przed tego typu atakami?

1. Aktualizuj systemy i oprogramowanie – regularne aktualizacje systemu operacyjnego oraz aplikacji (w tym systemu antywirusowego) są najważniejsze dla ochrony przed najnowszymi zagrożeniami. Aktualizacje często zawierają poprawki zabezpieczeń, które eliminują znane luki.
2. Stosuj zaawansowane rozwiązania antywirusowe – korzystaj z oprogramowania, które wykorzystuje wykrywanie oparte na analizie behawioralnej i heurystyce. Tego typu narzędzia są bardziej skuteczne w wykrywaniu złośliwego oprogramowania, które stara się uniknąć wykrycia przez tradycyjne sygnatury.
3. Włącz filtrację załączników i linków w e-mailach – zastosowanie rozwiązań, które automatycznie skanują załączniki i linki w wiadomościach e-mail, może pomóc w wykrywaniu złośliwego oprogramowania, zanim zostanie ono uruchomione na urządzeniu.
4. Postaw na edukację i budowanie świadomości użytkowników – szkolenie pracowników i użytkowników w zakresie rozpoznawania zagrożeń phishingowych i technik inżynierii społecznej to podstawowy element każdej strategii ochrony. Użytkownicy powinni wiedzieć, jak rozpoznać podejrzane wiadomości e-mail i unikać otwierania nieznanych załączników lub kliknięć w podejrzane linki.
5. Stosuj uwierzytelnianie dwuskładnikowe (2FA) – używaj dwuskładnikowego uwierzytelniania w celu dodatkowej ochrony wrażliwych kont, takich jak konta bankowe, skrzynki pocztowe czy konta w serwisach chmurowych. choćby jeżeli dane logowania zostaną skradzione, 2FA może zapobiec nieautoryzowanemu dostępowi.
6. Izoluj i analizuj podejrzane pliki w piaskownicy (sandboxing) – przed otwarciem podejrzanych plików uruchamiaj je w wirtualnym środowisku (piaskownicy), które izoluje złośliwe oprogramowanie od reszty systemu, co pozwala na bezpieczną analizę bez ryzyka infekcji.
7. Regularnie twórz kopie zapasowe – w przypadku ataków typu ransomware, które mogą zablokować dostęp do danych, regularne tworzenie kopii zapasowych na zewnętrznych nośnikach lub w chmurze może umożliwić szybkie przywrócenie danych bez konieczności płacenia okupu.
8. Monitoruj sieci i urządzenia – używaj narzędzi do monitorowania ruchu sieciowego i aktywności na urządzeniach, które mogą wykrywać nietypowe zachowania charakterystyczne dla ataków z wykorzystaniem złośliwego oprogramowania, takich jak wysoka aktywność sieciowa czy próby uzyskania nieautoryzowanego dostępu.

Stosowanie tych środków ochrony pozwala znacznie zmniejszyć ryzyko zakażenia złośliwym oprogramowaniem oraz zwiększa szanse na szybsze wykrycie i neutralizację zagrożeń, zanim dojdzie do poważnych strat.