Újfajta adathalász támadás van terjedőben, ami a Microsoft Word sérült fájl helyreállítási funkcióját használja ki, úgy, hogy a fenyegetési szereplők egy sérült Word-dokumentumot csatolnak e-mailekhez. A sérülés miatt a biztonsági szoftverek nem tudják az adathalász tartalmat kiszűrni, azonban a fájl a Word alkalmazással helyreállítható, megnyitható marad.
A kiberbűnözők folyamatosan keresik az újabb és újabb lehetőségeket, hogy kijátsszák az e-maileket ellenőrző biztonsági szoftvereket és az áldozatok postaládájába juttassák adathalász üzeneteiket. Az Any.Run malware elemző cég által felfedezett új adathalász eljárás során szándékosan sérült Word dokumentumokat küldenek e-mailben, amely a bérszámfejtési vagy a HR osztály nevében küldött üzenetek látszatát keltik.
A támadássorozat során a csatolt fájl neve minden esetben tartalmazza a base64 kódolt IyNURVhUTlVNUkFORE9NNDUjIw karaktersort, ami a ##TEXTNUMRANDOM45## szövegre dekódolható.
1. ábra A Word figyelmeztetése Forrás: BleepingComputer
A sérült csatolmány megnyitásakor a Microsoft Word minden esetben figyelmeztet, hogy sérült a tartalom és felajánlja a javítást.
A helyreállított tartalomban egy QR-kód beolvasására szólítják fel a felhasználót, hogy egy állítólagos dokumentumot elérhessen. A QR-kód mellet gyakran szereplenek vállalati logók, hogy növeljék a dokumentum hitelességét.
2. ábra A javított fájl, ami egy csaló QR kódot jelenít meg Forrás: BleepingComputer
A QR-kód beolvasása egy olyan adathalász webhelyre irányítja a gyanútlan felhasználót, amely a Microsoft bejelentkezési oldalát másolja és a hitelesítő adatokat próbálja megszerezni.
Ez az új adathalász módszer kreatív és hatékony, hisz a legtöbb biztonsági megoldás – sérült fájl esetén – nem érzékeli az adathalász tartalmat. Az Any.Run szakértői szerint a védelmi rendszerek fájl feldolgozási hiányosságai miatt ezek a tartalmak „tisztának” vagy „nem található” állapotúnak jelennek meg.
A szakértők feltöltötték a csatolmányokat a VirusTotal platformra is, ahol a vizsgálat során szinte semmilyen káros kódot nem azonosítottak. Mindössze két esetben érkezett figyelmeztetés, amely kizárólag a QR-kód jelenlétére vonatkozott.
Az adathalászat a már ismert szabályokkal megelőzhető:
Ismeretlen feladó e-mailjeit ne nyisd meg, különösen, ha azok csatolmányt is tartalmaznak. Az ilyen üzeneteket azonnal töröljük vagy jelezzük az adminisztrátornak.
Ez az új támadási mód a bizonyíték, hogy az adathalászok egyre kifinomultabb technikákat alkalmaznak, a biztonsági rendszerek kijátszására. A most bemutatott módszer még inkább kiemeli a megfelelő oktatás, a tudatosság növelésének és az elővigyázatosság fontosságát mind a szervezetek, mind az egyéni felhasználók számára egyaránt.