サイバーセキュリティ研究者らは、電子メール防御を回避する方法として破損した Microsoft Office ドキュメントや ZIP アーカイブを利用する新たなフィッシング キャンペーンに注意を呼び掛けました。
「進行中の攻撃はウイルス対策ソフトウェアを回避し、サンドボックスへのアップロードを阻止し、Outlook のスパム フィルターをバイパスして、悪意のある電子メールが受信箱に到達することを可能にしています。」ANY.RUN 言った X の一連の投稿で。
この悪意のあるアクティビティでは、セキュリティ ツールでスキャンできないように意図的に破損した ZIP アーカイブまたは Office 添付ファイルを含む電子メールが送信されます。これらのメッセージは、従業員の福利厚生やボーナスに関する虚偽の約束を記載した添付ファイルを開かせるようユーザーを騙すことを目的としています。
言い換えれば、ファイルの破損した状態は、電子メール フィルターやウイルス対策ソフトウェアによって疑わしいまたは悪意のあるファイルとしてフラグが立てられていないことを意味します。
ただし、Word、Outlook、WinRAR などのプログラムに組み込まれた回復メカニズムを利用して、破損したファイルを回復モードで再起動するため、この攻撃は依然として機能します。
ANY.RUN は、この攻撃手法が少なくとも 2024 年 8 月以降、脅威アクターによって使用されていることを明らかにし、検出を回避するために悪用されている潜在的なゼロデイであると説明しています。
これらの攻撃の最終目標は、ユーザーをだましてブービートラップされたドキュメントを開かせることです。このドキュメントには QR コードが埋め込まれており、スキャンすると被害者をマルウェア展開用の詐欺 Web サイトや資格情報盗難用の偽のログイン ページにリダイレクトします。
今回の調査結果は、攻撃者が電子メール セキュリティ ソフトウェアを回避し、フィッシング メールが確実にターゲットの受信箱に届くようにするために、これまで見たことのない手法を常に探していることを改めて示しています。
「これらのファイルはOS内で正常に動作するが、ファイルの種類に応じた適切な手順が適用されていないため、ほとんどのセキュリティソリューションでは検出されないままである」とANY.RUNは述べた。
「このファイルはセキュリティ ツールでは検出できないままですが、攻撃者によって悪用された組み込みの回復メカニズムにより、ユーザー アプリケーションはシームレスにファイルを処理します。」
Share this content:
