Documentos corrompidos do Microsoft Office e arquivos ZIP estão sendo utilizados em uma campanha de phishing que evita a detecção de antivírus, de acordo com QUALQUER.EXECUTAR. Essa tática, usada pelo menos desde agosto de 2024, envolve a corrupção intencional de arquivos para contornar as medidas de segurança de e-mail e, ao mesmo tempo, facilitar a recuperação de conteúdo malicioso.
Arquivos corrompidos do Microsoft Office usados em nova tática de phishing
ANY.RUN relatou que documentos corrompidos são criados para escapar de filtros de e-mail e software antivírus, permitindo que e-mails de phishing cheguem aos usuários-alvo. Ao contrário do malware convencional, esses arquivos não são sinalizados como suspeitos devido ao seu estado corrompido, o que prejudica os recursos de verificação. A campanha de phishing usa códigos QR em documentos para levar os usuários a páginas fraudulentas de login de contas da Microsoft, imitando a comunicação legítima sobre bônus e benefícios de funcionários.
Amostras desses documentos, analisadas pelo ANY.RUN, mostraram que os anexos entregues dessa maneira geralmente não geram sinalizações maliciosas quando testados com o VirusTotal. Os golpistas desenvolveram documentos corrompidos projetados especificamente para escapar dos filtros de conteúdo, mantendo integridade suficiente para que o Microsoft Word os recupere.
Os arquivos maliciosos usados nesta campanha foram projetados para explorar as funcionalidades de recuperação do Microsoft Word e WinRAR. Ao manipular a integridade dos arquivos, os invasores garantem que, quando os usuários abrirem esses documentos, os recursos de recuperação integrados tornem os arquivos legíveis, mascarando assim suas intenções maliciosas. Essa técnica permite efetivamente que os invasores contornem os métodos tradicionais de verificação dos quais muitos softwares de segurança dependem.
As investigações identificaram isso como uma potencial exploração de dia zero, demonstrando uma compreensão sofisticada da mecânica do software por parte dos atores da ameaça. O objetivo permanece claro: os usuários são enganados e levam-nos a abrir esses arquivos corrompidos, levando à ativação de códigos QR incorporados que os redirecionam para sites falsos projetados para coletar credenciais ou distribuir malware.
Os especialistas em segurança sublinham a importância da sensibilização dos utilizadores face às tentativas de phishing cada vez mais complexas. Grimes enfatizou a necessidade de treinamento de conscientização em segurança nas organizações, especialmente quando comunicações específicas de funções, como bônus de funcionários, servem como isca para esquemas de phishing. “Você não quer que os verdadeiros golpistas sejam os únicos a fazer phishing em seus colegas de trabalho dessa maneira”, afirmou ele.
As medidas ativas para combater essas ameaças incluem o aprimoramento dos recursos de filtragem de e-mail para detectar padrões de corrupção de arquivos ou conteúdo suspeito que podem não acionar alertas de segurança tradicionais. Nos últimos anos, estratégias como o bloqueio de macros em documentos do Microsoft Office foram implementadas para mitigar os riscos de métodos semelhantes de exploração de arquivos. A evolução contínua das táticas de phishing, como a incorporação de links maliciosos em códigos QR, exige estratégias adaptativas por parte de profissionais e organizações de segurança cibernética.
A crescente prevalência de phishing de código QR, também conhecido como “quishing”, acrescenta outra camada de complicação, com muitos usuários desconhecendo os riscos associados à leitura de códigos. As soluções de cibersegurança estão a ser equipadas com medidas melhoradas de deteção de códigos QR, mas a sofisticação das ameaças significa que potenciais vulnerabilidades persistem.
Crédito da imagem em destaque: Sasun Bughdaryan/Unsplash
