Tin tặc sử dụng ZIP bị hỏng và Office Docs để tránh phần mềm diệt vi-rút và phòng thủ email
Tin tặc sử dụng ZIP bị hỏng và Office Docs để tránh phần mềm diệt vi-rút và phòng thủ email
Các nhà nghiên cứu an ninh mạng đã kêu gọi chú ý đến một chiến dịch lừa đảo mới sử dụng các tài liệu Microsoft Office bị hỏng và các tệp ZIP để vượt qua các biện pháp bảo vệ email.
"Cuộc tấn công đang diễn ra này sẽ tránh được phần mềm #antivirus, ngăn chặn việc tải lên hộp cát và vượt qua các bộ lọc thư rác của Outlook, cho phép các email độc hại đến hộp thư đến của bạn", ANY.RUN cho biết trong một loạt bài đăng trên X.
Hoạt động độc hại này bao gồm việc gửi các email chứa các tệp ZIP hoặc tệp đính kèm Office bị hỏng một cách cố ý theo cách mà các công cụ bảo mật không thể quét được. Những tin nhắn này nhằm mục đích lừa người dùng mở các tệp đính kèm bằng những lời hứa sai sự thật về các chế độ phúc lợi và tiền thưởng cho nhân viên.
Nói cách khác, trạng thái bị hỏng của các tệp có nghĩa là chúng không bị bộ lọc email và phần mềm diệt vi-rút đánh dấu là đáng ngờ hoặc độc hại.
Tuy nhiên, cuộc tấn công vẫn có hiệu quả vì nó tận dụng các cơ chế phục hồi tích hợp của các chương trình như Word, Outlook và WinRAR để khởi chạy lại các tệp bị hỏng như vậy ở chế độ phục hồi.
ANY.RUN đã tiết lộ rằng kỹ thuật tấn công này đã được các tác nhân đe dọa sử dụng ít nhất là từ tháng 8 năm 2024, mô tả nó như một lỗ hổng zero-day tiềm ẩn đang bị khai thác để tránh bị phát hiện.
Mục tiêu cuối cùng của các cuộc tấn công này là lừa người dùng mở các tài liệu có bẫy, trong đó nhúng mã QR, khi được quét sẽ chuyển hướng nạn nhân đến các trang web lừa đảo để triển khai phần mềm độc hại hoặc các trang đăng nhập giả mạo để đánh cắp thông tin xác thực.
Những phát hiện này một lần nữa minh họa cách các tác nhân xấu liên tục tìm kiếm các kỹ thuật chưa từng thấy trước đây để vượt qua phần mềm bảo mật email và đảm bảo email lừa đảo của chúng đến được hộp thư đến của mục tiêu.
"Mặc dù các tệp này hoạt động thành công trong hệ điều hành, nhưng chúng vẫn không bị phát hiện bởi hầu hết các giải pháp bảo mật do không áp dụng đúng quy trình cho các loại tệp của chúng", ANY.RUN cho biết.
"Các công cụ bảo mật vẫn không phát hiện được tệp này, nhưng các ứng dụng của người dùng xử lý tệp này một cách liền mạch nhờ các cơ chế phục hồi tích hợp bị kẻ tấn công khai thác".
Hương – Theo TheHackerNews
Tin liên quan:
NTS xin thông báo đến Quý khách hàng thời gian nghỉ lễ Tết Dương Lịch ngày Thứ Tư 01/01/2025 theo hướng dẫn của Chính Phủ ban hành. Chúng tôi sẽ làm...
Chi tiếtTin tức đã trở thành tiêu đề trong suốt cuối tuần về chiến dịch tấn công mở rộng nhắm vào các tiện ích mở rộng của trình duyệt và tiêm mã độc vào...
Chi tiếtMặc dù nhiều người dùng và tổ chức không nhận thức được những rủi ro tiềm ẩn liên quan đến tiện ích mở rộng trình duyệt, nhưng có một số hành động...
Chi tiết