แคมเปญ Phishing ใหม่ ใช้ไฟล์ Word ที่เสียหาย เลี่ยงระบบ Security

การโจมตี Phishing หลอกขโมยข้อมูลยังคงเกิดขึ้นอย่างต่อเนื่อง ล่าสุด ทาง Any.Run บริษัท Malware Hunting ได้ค้นพบแคมเปญ Phishing ใหม่ ส่งไฟล์ Word ที่เสียหายผ่านเมล เพื่อให้ผู้ใช้ Recovery ด้วย Word แล้วหลอกเก็บข้อมูลส่วนบุคคลไป

Threat Actor ยังคงหาแนวทางใหม่ในการโจมตีอย่างต่อเนื่อง ล่าสุดคือการส่งไฟล์ Word ที่เสียหายแนบผ่านอีเมลเพื่อให้ผู้ใช้ Recovery แล้วแสดงขึ้นมาเป็นหน้าจอปลอมเพื่อให้ผู้ใช้งาน Login บน Microsoft หากแต่แท้จริงแล้วเป็นการ Phishing เพื่อหลอกขโมยข้อมูล

โดยไฟล์แนบที่ส่งผ่านอีเมลนั้นจะมาในหลากหลายรูปแบบซึ่งจะเกี่ยวข้องกับตัวพนักงาน เช่น สิทธิประโยชน์ โบนัส  รายงานผลประกอบการ รายการชำระเงิน เป็นต้น ซึ่งเอกสารมักจะมีข้อความที่เป็น Base64 Encode ไว้อยู่

Credit : BleepingComputer

และเมื่อเปิดไฟล์แนบ Microsoft Word จะตรวจจับว่าเป็นไฟล์ที่เสียหาย ซึ่งจะร้องขอให้ผู้ใช้งานทำการ Recovery โดยไฟล์นั้นจะสามารถ Recovery ได้โดยง่ายและแสดงเป็นหน้าเอกสารที่มี QR Code ให้สแกนเพื่อดึงอีกเอกสารหนึ่งขึ้น แต่แท้จริงแล้ว QR Code นั้นจะส่งไปที่หน้าเว็บไซต์ Phishing ปลอมที่ทำเหมือนหน้าเว็บไซต์ของ Microsoft ในการยืนยันตัวตน เพื่อหลอกขโมย Credential ของผู้ใช้ไป

Credit : BleepingComputer

หากใครพบเจอการเหตุการณ์ในลักษณะดังกล่าวโดยมาจากผู้ส่งที่เป็นใครก็ไม่รู้ ให้มองว่าเป็นการโจมตี Phishing ไว้ก่อน ซึ่งควรจะลบอีเมลดังกล่าวออกไปทันที หรือให้ยืนยันกับผู้ดูแลระบบก่อนที่จะเปิดไฟล์แนบจะเป็นการดีที่สุด

ที่มา: https://www.bleepingcomputer.com/news/security/novel-phising-campaign-uses-corrupted-word-documents-to-evade-security/

About chatchai

Tech Writer แห่ง TechTalk Thai ที่สนใจในทุกนวัตกรรมและเทคโนโลยี

Check Also

Microsoft ยกระดับการจัดการช่องโหว่บน Windows รับมือยุคที่ AI เร่งการค้นพบช่องโหว่

Microsoft เผยแนวทางปรับปรุงการจัดการช่องโหว่บน Windows ให้ทันกับยุคที่ AI ทำให้การค้นพบช่องโหว่เกิดขึ้นเร็วขึ้นและครอบคลุมโค้ดจำนวนมากขึ้น ทั้งฝั่งผู้ป้องกันและผู้โจมตี

Ubiquiti เตือนช่องโหว่ Critical ระดับสูงสุดบน UniFi OS ให้แพตช์โดยด่วน

Ubiquiti ออกอัปเดตความปลอดภัยแก้ไขช่องโหว่ระดับ Critical จำนวน 7 รายการบน UniFi OS โดยหนึ่งในนั้นเป็นช่องโหว่ที่มีความรุนแรงสูงสุดซึ่งเปิดโอกาสให้ผู้โจมตีรันคำสั่งบนอุปกรณ์ผ่านการทำ Command Injection ได้