一種新型的網絡釣魚攻擊利用了微軟Word文件恢復功能，通過發(fā)送損壞的Word文檔作為電子郵件附件，使它們能夠因為損壞狀態(tài)而繞過安全軟件，但仍然可以被應用程序恢復。

威脅行為者不斷尋找新的方法來繞過電子郵件安全軟件，將他們的網絡釣魚郵件送達到目標收件箱。由惡意軟件狩獵公司Any.Run發(fā)現的一個新的網絡釣魚活動，使用故意損壞的Word文檔作為電子郵件附件，這些郵件偽裝成來自工資單和人力資源部門。

這些附件使用了一系列主題，都圍繞著員工福利和獎金，包括：

Annual_Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx
Annual_Q4_Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin
Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin
Due_&_Payment_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin
Q4_Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin
這些文檔中都包含了Base64編碼的字符串"IyNURVhUTlVNUkFORE9NNDUjIw," 解碼后為"##TEXTNUMRANDOM45##"。

當打開附件時，Word會檢測到文件已損壞，并提示文件中“發(fā)現無法讀取的內容”，詢問是否要恢復它。

這些網絡釣魚文檔損壞的方式使得它們很容易被恢復，顯示一個文檔告訴目標掃描一個二維碼以檢索文檔。如下所示，這些文檔被標記為目標公司的徽標，例如下面展示的針對Daily Mail的活動。

掃描二維碼將用戶帶到一個網絡釣魚網站，該網站偽裝成微軟登錄頁面，試圖竊取用戶的憑證。

雖然這次網絡釣魚攻擊的最終目標并不新鮮，但其使用損壞的Word文檔是一種新穎的規(guī)避檢測手段。

"盡管這些文件在操作系統(tǒng)中運行成功，但由于未能為它們的文件類型應用適當的程序，它們仍然未被大多數安全解決方案檢測到，"Any.Run解釋道。

“它們被上傳到VirusTotal，但所有防病毒解決方案都返回了'clean'或'Item Not Found'，因為它們無法正確分析文件。”

這些附件在實現目標方面相當成功。從與BleepingComputer分享的附件和在這次活動中使用的附件來看，幾乎所有的在VirusTotal上的檢測結果都是零[1, 2, 3, 4]，只有一些[1]被2個供應商檢測到。

同時，這也可能是因為文檔中沒有添加惡意代碼，它們只是顯示了一個二維碼。保護自己不受這種網絡釣魚攻擊的一般規(guī)則仍然適用。如果你收到了一個未知發(fā)件人的電子郵件，特別是如果它包含附件，應立即刪除或在打開前與網絡管理員確認。

參考來源：https://www.bleepingcomputer.com/news/security/novel-phising-campaign-uses-corrupted-word-documents-to-evade-security/