Documenti Microsoft Office e file ZIP corrotti vengono utilizzati in una campagna di phishing che elude il rilevamento antivirus, secondo QUALSIASI.RUN. Questa tattica, utilizzata almeno dall’agosto 2024, prevede la corruzione intenzionale dei file per aggirare le misure di sicurezza della posta elettronica facilitando comunque il recupero di contenuti dannosi.
File Microsoft Office danneggiati utilizzati nella nuova tattica di phishing
ANY.RUN ha riferito che i documenti danneggiati vengono creati per sfuggire ai filtri e-mail e ai software antivirus, consentendo alle e-mail di phishing di raggiungere utenti mirati. A differenza dei malware convenzionali, questi file non vengono contrassegnati come sospetti a causa del loro stato corrotto, che ostacola le capacità di scansione. La campagna di phishing utilizza i codici QR all’interno dei documenti per condurre gli utenti a pagine di accesso fraudolente agli account Microsoft, imitando comunicazioni legittime relative a bonus e benefici per i dipendenti.
Campioni di questi documenti, analizzati da ANY.RUN, hanno mostrato che gli allegati consegnati in questo modo spesso non producono alcun flag dannoso quando testati con VirusTotal. I truffatori hanno sviluppato documenti corrotti progettati specificamente per eludere i filtri dei contenuti mantenendo un’integrità sufficiente per consentire a Microsoft Word di recuperarli.
I file dannosi utilizzati in questa campagna sono progettati per sfruttare le funzionalità di ripristino di Microsoft Word e WinRAR. Manipolando l’integrità dei file, gli aggressori garantiscono che quando gli utenti aprono questi documenti, le funzionalità di ripristino integrate rendano i file leggibili, mascherando così i loro intenti dannosi. Questa tecnica consente effettivamente agli aggressori di aggirare i metodi di scansione tradizionali su cui fanno affidamento molti software di sicurezza.
Le indagini hanno identificato questo come un potenziale exploit zero-day, dimostrando una comprensione sofisticata dei meccanismi del software da parte degli autori delle minacce. L’obiettivo rimane chiaro: gli utenti vengono indotti con l’inganno ad aprire questi file corrotti, portando all’attivazione di codici QR incorporati che li reindirizzano a siti Web falsi progettati per raccogliere credenziali o fornire malware.
Gli esperti di sicurezza sottolineano l’importanza della consapevolezza degli utenti di fronte ai tentativi di phishing sempre più complessi. Grimes ha sottolineato la necessità di una formazione sulla consapevolezza della sicurezza nelle organizzazioni, soprattutto quando le comunicazioni specifiche per il ruolo come i bonus dei dipendenti fungono da esca per schemi di phishing. “Non vorrai che i veri truffatori siano gli unici a fare phishing sui tuoi colleghi in questo modo”, ha affermato.
Le misure attive per combattere queste minacce includono il miglioramento delle capacità di filtraggio della posta elettronica per rilevare modelli di danneggiamento dei file o contenuti sospetti che potrebbero non attivare i tradizionali avvisi di sicurezza. Negli ultimi anni sono state implementate strategie come il blocco delle macro nei documenti di Microsoft Office per mitigare i rischi derivanti da metodi simili di sfruttamento dei file. La continua evoluzione delle tattiche di phishing, come l’incorporamento di collegamenti dannosi nei codici QR, richiede strategie adattative da parte dei professionisti e delle organizzazioni della sicurezza informatica.
La crescente diffusione del phishing dei codici QR, noto anche come “quishing”, aggiunge un ulteriore livello di complicazione, con molti utenti inconsapevoli dei rischi associati alla scansione dei codici. Le soluzioni di sicurezza informatica si stanno dotando di misure avanzate di rilevamento dei codici QR, ma la sofisticazione delle minacce fa sì che le potenziali vulnerabilità persistano.
Credito immagine in primo piano: Sasun Bughdaryan/Unsplash
