サイバーセキュリティ研究者は、電子メール防御やウイルス対策ソフトウェアによる検出を回避するために、破損した Microsoft Office ドキュメントや ZIP ファイルを悪用する新たなフィッシング キャンペーンを調査しています。この攻撃戦略は少なくとも 2024 年 8 月から活動しており、悪意のある電子メールがスパム フィルターをバイパスしてユーザーに直接到達できるようになります。
サイバーセキュリティの専門家が破損したファイルを使用した新たなフィッシング戦術を発見
このキャンペーンは、意図的に破損した添付ファイルを含む電子メールを送信することによって実行されます。破損した状態では、これらのファイルはセキュリティ ツールによって効果的にスキャンされず、最終的にはウイルス対策の警告を回避できます。 ANY.RUN によると、このマルウェアは Microsoft Word や WinRAR などのプログラムに組み込まれた回復機能を利用し、即座にセキュリティ警告を表示することなく破損したファイルを開くことができます。
電子メールは誤解を招く福利厚生を約束することが多く、従業員のボーナスや人事通知に関連する主張で受信者を誘惑します。悪意のあるドキュメントには、被害者を詐欺的な Web サイトにリダイレクトする QR コードが埋め込まれており、資格情報の盗難やマルウェアのインストールにつながる可能性があります。セキュリティ チェックにより、添付ファイルが VirusTotal などのサービスにアップロードされる場合、通常は悪意のあるコンテンツに対するアラートが生成されず、検出作業がさらに複雑になることが判明しました。
この戦略は、自動セキュリティ スキャンを回避できるほど破損しているにもかかわらず、ユーザーが開くことができるほどアクセス可能なドキュメントを作成するため、独特の課題を引き起こします。従業員に約束されたボーナスや福利厚生を餌として巧みに利用することで、職場での研修の脆弱性が明らかになり、組織がセキュリティ意識向上プログラムを強化する必要性が強調されています。このようなトレーニングでは、従業員がこれらの巧妙に作成された計画を認識し、その被害者にならないようにするために、このような特定の脅威に対処する必要があります。
記録によると、このフィッシング活動で使用された手法はまったく前例のないものではありません。過去の攻撃でも同様の戦術が登場しており、悪意のある攻撃者は、一見無害に見えるファイル内にマルウェアを隠す独自の方法を頻繁に見つけています。マクロが埋め込まれたドキュメントや多言語ファイルなどの手法は、攻撃者が検出を回避するために型破りな方法を利用するという広範な傾向を浮き彫りにしています。
このキャンペーンの破損した添付ファイルは、多くの組織がセキュリティ テストに採用しているサンドボックス環境を回避するように特別に設計されています。このような環境はファイル構造に依存しているため、破損が見落とされる可能性があります。したがって、ユーザーがドキュメントを回復しようとすると、無意識のうちに悪意のあるプログラムが起動されてしまいます。
多くの電子メール サービスでは高度なフィルタリング技術が使用されているにもかかわらず、このキャンペーンはこれらのシステム内に依然としてギャップが存在することを示しています。 ANY.RUN は、ファイルは悪意のあるものとしてフラグ付けされることなく動作しますが、この種の破損したファイルを検出するには対話性が不可欠であることを強調しています。セキュリティ ソリューションは QR コードを効果的に処理するのに苦労しており、多くの場合、そのような戦術の組み合わせによりユーザーのリスクが増大します。
QR コードの人気が高まるにつれ、多くの攻撃者が悪意のある意図をさらに目立たなくするために、これらのコード内にリンクを埋め込んでいます。
注目の画像クレジット: Microsoft
この投稿は、一見無邪気な Word ドキュメントに危険な秘密が隠されていますが、最初に TechBriefly に掲載されました。
Source: これらの無邪気そうに見える Word ドキュメントには危険な秘密が隠されています
