แคมเปญ Phishing ใหม่ ใช้ไฟล์ Word ที่เสียหาย เลี่ยงระบบ Security

การโจมตี Phishing หลอกขโมยข้อมูลยังคงเกิดขึ้นอย่างต่อเนื่อง ล่าสุด ทาง Any.Run บริษัท Malware Hunting ได้ค้นพบแคมเปญ Phishing ใหม่ ส่งไฟล์ Word ที่เสียหายผ่านเมล เพื่อให้ผู้ใช้ Recovery ด้วย Word แล้วหลอกเก็บข้อมูลส่วนบุคคลไป

🚨ALERT: Potential ZERO-DAY, Attackers Use Corrupted Files to Evade Detection 🧵 (1/3)
⚠️ The ongoing attack evades #antivirus software, prevents uploads to sandboxes, and bypasses Outlook's spam filters, allowing the malicious emails to reach your inbox

The #ANYRUN team… pic.twitter.com/0asnG72Gm9

— ANY.RUN (@anyrun_app) November 25, 2024

Threat Actor ยังคงหาแนวทางใหม่ในการโจมตีอย่างต่อเนื่อง ล่าสุดคือการส่งไฟล์ Word ที่เสียหายแนบผ่านอีเมลเพื่อให้ผู้ใช้ Recovery แล้วแสดงขึ้นมาเป็นหน้าจอปลอมเพื่อให้ผู้ใช้งาน Login บน Microsoft หากแต่แท้จริงแล้วเป็นการ Phishing เพื่อหลอกขโมยข้อมูล

โดยไฟล์แนบที่ส่งผ่านอีเมลนั้นจะมาในหลากหลายรูปแบบซึ่งจะเกี่ยวข้องกับตัวพนักงาน เช่น สิทธิประโยชน์ โบนัส  รายงานผลประกอบการ รายการชำระเงิน เป็นต้น ซึ่งเอกสารมักจะมีข้อความที่เป็น Base64 Encode ไว้อยู่

และเมื่อเปิดไฟล์แนบ Microsoft Word จะตรวจจับว่าเป็นไฟล์ที่เสียหาย ซึ่งจะร้องขอให้ผู้ใช้งานทำการ Recovery โดยไฟล์นั้นจะสามารถ Recovery ได้โดยง่ายและแสดงเป็นหน้าเอกสารที่มี QR Code ให้สแกนเพื่อดึงอีกเอกสารหนึ่งขึ้น แต่แท้จริงแล้ว QR Code นั้นจะส่งไปที่หน้าเว็บไซต์ Phishing ปลอมที่ทำเหมือนหน้าเว็บไซต์ของ Microsoft ในการยืนยันตัวตน เพื่อหลอกขโมย Credential ของผู้ใช้ไป

หากใครพบเจอการเหตุการณ์ในลักษณะดังกล่าวโดยมาจากผู้ส่งที่เป็นใครก็ไม่รู้ ให้มองว่าเป็นการโจมตี Phishing ไว้ก่อน ซึ่งควรจะลบอีเมลดังกล่าวออกไปทันที หรือให้ยืนยันกับผู้ดูแลระบบก่อนที่จะเปิดไฟล์แนบจะเป็นการดีที่สุด

ที่มา: https://www.bleepingcomputer.com/news/security/novel-phising-campaign-uses-corrupted-word-documents-to-evade-security/