I ricercatori di sicurezza informatica stanno indagando su una nuova campagna di phishing che sfrutta documenti Microsoft Office e file ZIP corrotti per eludere il rilevamento da parte delle difese email e dei software antivirus. Attiva almeno dall’agosto 2024, questa strategia di attacco consente alle e-mail dannose di aggirare i filtri antispam e raggiungere direttamente gli utenti.
Gli esperti di sicurezza informatica scoprono una nuova tattica di phishing utilizzando file corrotti
La campagna funziona inviando e-mail con allegati intenzionalmente danneggiati. Lo stato danneggiato impedisce che questi file vengano scansionati in modo efficace dagli strumenti di sicurezza, consentendo loro in definitiva di ignorare gli avvisi antivirus. Secondo QUALSIASI.RUNil malware sfrutta le funzionalità di ripristino integrate in programmi come Microsoft Word e WinRAR, consentendo l’apertura di file danneggiati senza attivare avvisi di sicurezza immediati.
Le e-mail spesso promettono vantaggi fuorvianti, attirando i destinatari con affermazioni relative a bonus per i dipendenti e notifiche alle risorse umane. I documenti dannosi incorporano codici QR che reindirizzano le vittime a siti Web fraudolenti, il che può portare al furto di credenziali o all’installazione di malware. I controlli di sicurezza rivelano che quando gli allegati vengono caricati su servizi come VirusTotal, in genere non generano avvisi per contenuti dannosi, complicando ulteriormente gli sforzi di rilevamento.
Questa strategia rappresenta una sfida unica poiché crea documenti sufficientemente corrotti da aggirare le scansioni di sicurezza automatizzate ma sufficientemente accessibili da poter essere aperti dagli utenti. L’uso intelligente dei bonus e dei benefici promessi ai dipendenti come esca mette in luce le vulnerabilità nella formazione sul posto di lavoro, sottolineando la necessità per le organizzazioni di migliorare i programmi di sensibilizzazione sulla sicurezza. Tale formazione dovrebbe affrontare minacce specifiche come queste per aiutare i dipendenti a riconoscere ed evitare di cadere vittime di questi schemi ben congegnati.
I dati mostrano che la metodologia utilizzata in questa campagna di phishing non è del tutto senza precedenti. Tattiche simili sono emerse negli attacchi passati, con i malintenzionati che spesso trovavano modi unici per nascondere malware all’interno di file apparentemente innocui. Tecniche come documenti con macro incorporati e file poliglotti evidenziano una tendenza più ampia in cui gli aggressori utilizzano metodi non ortodossi per evitare di essere scoperti.
Gli allegati danneggiati in questa campagna sono progettati specificamente per aggirare gli ambienti sandbox utilizzati da molte organizzazioni per i test di sicurezza. Tali ambienti si basano su strutture di file che possono far sì che il danneggiamento venga trascurato. Pertanto, quando un utente tenta di recuperare il documento, attiva involontariamente il programma dannoso.
Nonostante l’uso di tecniche di filtraggio avanzate da parte di molti servizi di posta elettronica, la campagna dimostra che esistono ancora delle lacune all’interno di questi sistemi. ANY.RUN sottolinea che, sebbene i file funzionino senza essere contrassegnati come dannosi, l’interattività nel rilevamento di questi tipi di file danneggiati è essenziale. Le soluzioni di sicurezza faticano a gestire i codici QR in modo efficace e, spesso, la combinazione di tali tattiche aumenta il rischio per gli utenti.
Con la crescente popolarità dei codici QR, molti aggressori stanno ora incorporando collegamenti all’interno di questi codici per nascondere ulteriormente le loro intenzioni dannose.
Credito immagine in primo piano: Microsoft
Il post Questi documenti Word dall’aspetto innocente nascondono un pericoloso segreto è apparso per la prima volta su TechBriefly.
Source: Questi documenti Word dall’aspetto innocente nascondono un pericoloso segreto