近期网络钓鱼活动利用篡改的文档掩盖恶意行为

关键要点

• 篡改文档和压缩文件 ：攻击者利用故意损坏的Office文档与压缩文件回避安全检测。
• 恢复能力 ：受影响的文件可以通过特定软件（如Microsoft Word和WinRAR）恢复和查看。
• 新型网络钓鱼手法 ：此类攻击使用包含QR码的文档，链接到伪装为Microsoft账户登录页面的钓鱼网站。
• 用户意识重要性 ：面对这种安全技术规避型钓鱼诈骗，增强用户意识至关重要。

近期的网络钓鱼活动中，攻击者利用篡改的MicrosoftOffice文档和压缩文件以逃避检测，。这些文件故意被损坏，旨在防止电子邮件过滤器和杀毒软件的扫描，同时也阻止它们在沙箱环境中正常启动。尽管如此，当这些文件使用特定软件（如MicrosoftWord对于DOCX文件和WinRAR对于ZIP压缩包）打开时，仍然可以被恢复和阅读。

Roger Grimes，KnowBe4的基于数据的防御倡导者在给SCMedia的电子邮件中指出：“这是规避内容过滤安全防御的一种新颖且有趣的方法。我在网络安全领域工作了超过36年，并不记得以前见过这种策略。”他提到，攻击者不仅要制作出一种能让内容过滤器失效的损坏文档，还必须确保损坏程度足够轻微，以便Word始终能够恢复文件的可读性。

该网络钓鱼活动自2024年8月至今一直在进行，通过文档中的QR码传播伪装成Microsoft账户登录页面的钓鱼网站链接。ANY.RUN展示的实例中，这些文档被附在看似来自人力资源部门关于目标薪水或雇佣福利的通知邮件中。

由于这些文件以被损坏的状态发送，许多杀毒软件无法将其识别为恶意文件。在将一个附件上传到VirusTotal时，未发现恶意内容的任何标记，杀毒解决方案的反馈结果为“干净”或“未找到项目”。ANY.RUN在社交媒体上发帖指出。

尽管如此，像MicrosoftWord这样的程序的恢复功能特别设计用于将特定类型的受损文件（如DOCX文件）恢复到可读状态，从而确保钓鱼链接能够顺利传达到用户手中。因此，这些文件的恶意特性只有在通过这些程序的恢复过程后才能显露出来。

ANY.RUN在X上提到：“尽管这些文件在操作系统内成功运行，但由于未能对文件类型应用适当程序，它们在大多数安全解决方案中仍然未被检测到。”通过在适当的对应程序中启动文件的互动沙箱可以检测到恶意意图。

攻击者发掘独特方式操控钓鱼附件

恶意的Word文档及其他类型的篡改文件常被攻击者用来隐藏其恶意软件和网络钓鱼攻击，传统的手段例如已经被用来传播木马，例如和。因此，微软在2022年决定。

另一个例子是使用包括多种文件类型的“多语言”文件，这使得安全软件在正确解读时更具挑战性。这可能包括或来隐藏恶意代码。

利用QR码