2min Security

Phishingcampagne omzeilt beveiliging corrupte Word-documenten

Phishingcampagne omzeilt beveiliging corrupte Word-documenten

Een nieuwe phishingaanval misbruikt de hersteloptie van Microsoft Word door corrupte Word-documenten als e-mailbijlagen te versturen. Hierdoor kunnen ze beveiligingssoftware omzeilen vanwege hun beschadigde status, terwijl de applicatie ze toch herstelt. 

Dreigingsactoren blijven voortdurend op zoek naar nieuwe manieren om e-mailbeveiligingssoftware te omzeilen en hun phishingmails in de inbox van doelwitten te krijgen.  

Inspelen op salaris en bonus

Een nieuwe phishingcampagne, ontdekt door het malwarejachtbedrijf Any.Run, maakt gebruik van opzettelijk corrupte Word-documenten als bijlagen in e-mails. Deze mails lijken afkomstig te zijn van de afdelingen salarisadministratie en personeelszaken. BleepingComputer schrijft dit.

Deze bijlagen hebben verschillende thema’s, maar draaien allemaal om werknemersvoordelen en bonussen. Bij het openen van de bijlagen detecteert Word dat het bestand beschadigd is. Het meldt dat het “onleesbare inhoud” heeft gevonden. De gebruiker wordt gevraagd of hij het bestand wil herstellen.  

QR-code scannen

De aanvallers beschadigen de phishingdocumenten zo, dat de applicatie ze gemakkelijk herstelt. Vervolgens tonen ze een document waarin het doelwit wordt gevraagd een QR-code te scannen om een ander document te verkrijgen. Criminelen voorzien de documenten vaak van het logo van aangevallen bedrijf. 

Het scannen van de QR-code leidt de gebruiker naar een phishingwebsite die zich voordoet als een Microsoft-loginpagina om inloggegevens te stelen. Hoewel het uiteindelijke doel van deze phishingaanval niet nieuw is, is het gebruik van corrupte Word-documenten een nieuwe tactiek om detectie te ontwijken.  

Beveiligingsoplossingen herkennen gevaar niet

“Hoewel deze bestanden succesvol binnen het besturingssysteem functioneren, blijven ze onopgemerkt door de meeste beveiligingsoplossingen. Dit vanwege het niet correct verwerken van hun bestandstypen,” legt Any.Run uit. “Ze werden geüpload naar VirusTotal, maar alle antivirusoplossingen gaven ‘schoon’ of ‘Item niet gevonden’ aan, omdat ze het bestand niet goed konden analyseren.”  

Van de bijlagen die met BleepingComputer zijn gedeeld en in deze campagne zijn gebruikt, heeft bijna geen enkele detecties op VirusTotal. Met slechts enkele uitzonderingen die door twee leveranciers werden herkend.  

Dit kan ook te maken hebben met het feit dat er geen schadelijke code aan de documenten is toegevoegd. En dat ze enkel een QR-code tonen.  

Wantrouw onbekende afzender

De algemene veiligheidsregels blijven van toepassing om jezelf tegen deze phishingaanval te beschermen. Als je een e-mail ontvangt van een onbekende afzender, vooral als deze bijlagen bevat, verwijder deze dan direct of overleg met een netwerkbeheerder voordat je hem opent.