Según ANY.RUN, en recientes campañas de phishing se están utilizando documentos y archivos de Microsoft Office corruptos para evadir la detección.
Según ANY.RUN, los archivos han sido dañados intencionalmente para evitar que sean analizados por filtros de correo electrónico y software antivirus, y para evitar que se inicien exitosamente en un entorno sandbox. Sin embargo, los archivos se pueden recuperar y leer cuando se inician con cierto software, como Microsoft Word para archivos DOCX o WinRAR para archivos ZIP.
“Esta es una forma nueva e interesante de eludir las defensas de seguridad de filtrado de contenido. He estado en ciberseguridad durante más de 36 años y no recuerdo esta táctica antes”, dijo Roger Grimes, evangelista de defensa basada en datos de KnowBe4, en un correo electrónico a SC Media. . “Además de crear un documento corrupto que impediría que funcionaran los filtros de contenido, los estafadores debían asegurarse de que el daño fuera lo suficientemente pequeño como para que Word pudiera repararlo en cualquier momento”.
La campaña ha estado activa desde al menos agosto de 2024 y utiliza códigos QR en documentos para difundir enlaces a sitios web de phishing disfrazados de páginas de inicio de sesión de cuentas de Microsoft. En el ejemplo publicado por ANY.RUN, el correo electrónico contenía un documento que parecía ser una notificación del departamento de recursos humanos sobre el salario y los beneficios laborales de la víctima.
Debido a que el archivo se envía en estado corrupto, muchos programas antivirus no lo reconocen como malicioso. Según ANY.RUN, cuando carga uno de sus archivos adjuntos en VirusTotal, el indicador de contenido malicioso es cero y su solución antivirus dará un resultado “limpio” o “elemento no encontrado” para ese archivo.
Sin embargo, las funciones de recuperación de programas como Microsoft Word están especialmente equipadas para restaurar ciertos tipos de archivos corruptos, como los archivos DOCX, a un estado legible y garantizar que los enlaces de phishing lleguen al usuario. Por lo tanto, la naturaleza maliciosa del archivo se hace evidente sólo después de pasar por el proceso de recuperación con uno de estos programas.
“Si bien estos archivos funcionan bien dentro del sistema operativo, la mayoría de las soluciones de seguridad no los detectan porque no se han aplicado los pasos apropiados para el tipo de archivo”, publicó ANY.RUN en X. , señaló que hay una zona de pruebas interactiva que inicia el expediente correspondiente correspondiente. La intención maliciosa se puede detectar mediante programación.
Los atacantes encuentran formas únicas de manipular los archivos adjuntos de phishing
Los atacantes suelen utilizar documentos de Word maliciosos y otros tipos de archivos manipulados para ocultar malware y ataques de phishing de los sistemas de seguridad. Por ejemplo, ocultar malware en macros en documentos de Microsoft Office es una táctica que se ha utilizado para difundir troyanos como Dridex y Emotet, lo que llevó a Microsoft a comenzar a bloquear macros de forma predeterminada en 2022.
Otro ejemplo es el uso de archivos “políglotas” que contienen varios tipos de archivos. Esto dificulta que el software de seguridad lo interprete correctamente. Esto podría incluir un documento de Word malicioso incrustado en un PDF o una combinación de JavaScript e imágenes para ocultar código malicioso.
El uso de códigos QR para ocultar enlaces maliciosos (también conocido como quishing) también está en aumento, y la mayoría de estos ataques con códigos QR se envían por correo electrónico. Debido a la creciente popularidad de los códigos QR, muchas soluciones de seguridad de correo electrónico ahora tienen la detección de códigos QR integrada en sus capacidades de escaneo de enlaces, lo que requiere que los ataques encuentren capas adicionales de ofuscación para aplicar en sus esquemas.
Sin embargo, Grimes señaló que algunos filtros todavía tienen dificultades para procesar códigos QR, lo que hace que la combinación de técnicas de evasión sea particularmente peligrosa. Esto resalta la importancia de concientizar a los usuarios cuando se enfrentan a estafas de phishing para evitar el software.
“Este es un ejemplo de un phisher que utiliza las bonificaciones y beneficios prometidos a los empleados como señuelo de phishing. Cuando un formador de concienciación sobre seguridad utiliza el correo electrónico de bonificación de un empleado como señuelo de pseudophishing, el acto recibe mucha atención. Sin embargo, este es exactamente el Sólo los verdaderos estafadores no querrían hacer phishing a sus colegas de esta manera”, afirmó Grimes.
https://packetstormsecurity.com/news/view/36662/Corrupted-Microsoft-Office-Documents-Used-In-Phishing-Campaign.html
