Une nouvelle attaque de phishing abuse de la fonctionnalité de récupération de fichiers Word de Microsoft en envoyant des documents Word corrompus sous forme de pièces jointes à un courrier électronique, leur permettant de contourner le logiciel de sécurité en raison de leur état endommagé tout en restant récupérables par l’application.

Les auteurs de menaces recherchent constamment de nouvelles façons de contourner les logiciels de sécurité des e-mails et d’envoyer leurs e-mails de phishing dans les boîtes de réception des cibles.

Une nouvelle campagne de phishing découverte par la société de chasse aux logiciels malveillants Any.Exécuter utilise des documents Word intentionnellement corrompus en tant que pièces jointes dans des courriels qui prétendent provenir des services de la paie et des ressources humaines.

Courriels d’hameçonnage

Ces pièces jointes utilisent un large éventail de thèmes, tous axés sur les avantages sociaux et les primes des employés, notamment:

Annual_Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx
Annual_Q4_Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin
Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin
Due_&_Payment_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin
Q4_Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin

Les documents de cette campagne incluent tous la chaîne encodée en base64 « IyNURVhUTlVNUkFORE9NNDUjIw », qui décode en  » # # TEXTNUMRANDOM45## ».

Lors de l’ouverture des pièces jointes, Word détectera que le fichier est corrompu et indiquera qu’il « a trouvé du contenu illisible » dans le fichier, vous demandant si vous souhaitez le récupérer.

Document Word corrompu envoyé dans des e-mails de phishing

Ces documents de phishing sont corrompus de telle sorte qu’ils sont facilement récupérables, affichant un document qui indique à la cible de scanner un code QR pour récupérer un document. Comme vous pouvez le voir ci-dessous, ces documents portent les logos de l’entreprise ciblée, comme la campagne ciblant Daily Mail illustrée ci-dessous

Document Word réparé

La numérisation du code QR amènera l’utilisateur à un site de phishing qui prétend être une connexion Microsoft, tentant de voler les informations d’identification de l’utilisateur.

Page de phishing volant des informations d’identification Microsoft

Bien que le but ultime de cette attaque de phishing n’ait rien de nouveau, son utilisation de documents Word corrompus est une nouvelle tactique utilisée pour échapper à la détection.

« Bien que ces fichiers fonctionnent correctement dans le système d’exploitation, ils ne sont pas détectés par la plupart des solutions de sécurité en raison de l’incapacité à appliquer les procédures appropriées pour leurs types de fichiers », explique Any.Cours.

« Ils ont été téléchargés sur VirusTotal, mais toutes les solutions antivirus ont renvoyé « propre » ou « Élément introuvable » car elles ne pouvaient pas analyser le fichier correctement. »

Ces attachements ont assez bien réussi à atteindre leur objectif.

À partir des pièces jointes partagées avec Breachtrace et utilisées dans cette campagne, presque toutes n’ont aucune détection [1, 2, 3, 4] sur VirusTotal, avec seulement certaines [1] détectées par 2 fournisseurs.

Dans le même temps, cela pourrait également être dû au fait qu’aucun code malveillant n’a été ajouté aux documents et qu’ils affichent simplement un code QR.

Les règles générales s’appliquent toujours pour vous protéger contre cette attaque de phishing.

Si vous recevez un e-mail d’un expéditeur inconnu, en particulier s’il contient des pièces jointes, il doit être supprimé immédiatement ou confirmé auprès d’un administrateur réseau avant de l’ouvrir.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *