Des documents Microsoft Office et des fichiers ZIP corrompus sont utilisés dans une campagne de phishing qui échappe à la détection antivirus, selon TOUT.RUN. Cette tactique, utilisée depuis au moins août 2024, consiste à corrompre intentionnellement des fichiers pour contourner les mesures de sécurité de la messagerie électronique tout en facilitant la récupération de contenu malveillant.
Fichiers Microsoft Office corrompus utilisés dans une nouvelle tactique de phishing
ANY.RUN a signalé que les documents corrompus sont conçus pour échapper aux filtres de messagerie et aux logiciels antivirus, permettant ainsi aux e-mails de phishing d’atteindre des utilisateurs ciblés. Contrairement aux logiciels malveillants classiques, ces fichiers ne sont pas signalés comme suspects en raison de leur état corrompu, ce qui entrave les capacités d’analyse. La campagne de phishing utilise des codes QR contenus dans des documents pour diriger les utilisateurs vers des pages de connexion frauduleuses aux comptes Microsoft, imitant les communications légitimes concernant les primes et avantages sociaux des employés.
Des échantillons de ces documents, analysés par ANY.RUN, ont montré que les pièces jointes livrées de cette manière ne génèrent souvent aucun indicateur malveillant lorsqu’elles sont testées avec VirusTotal. Les fraudeurs ont développé des documents corrompus spécialement conçus pour échapper aux filtres de contenu tout en conservant suffisamment d’intégrité pour que Microsoft Word puisse les récupérer.
Les fichiers malveillants utilisés dans cette campagne sont conçus pour exploiter les fonctionnalités de récupération de Microsoft Word et WinRAR. En manipulant l’intégrité des fichiers, les attaquants garantissent que lorsque les utilisateurs ouvrent ces documents, les fonctionnalités de récupération intégrées rendent les fichiers lisibles, masquant ainsi leur intention malveillante. Cette technique permet effectivement aux attaquants de contourner les méthodes d’analyse traditionnelles sur lesquelles s’appuient de nombreux logiciels de sécurité.
Les enquêtes ont identifié il s’agit d’un exploit potentiel Zero Day, démontrant une compréhension sophistiquée des mécanismes logiciels par les acteurs de la menace. L’objectif reste clair : les utilisateurs sont amenés à ouvrir ces fichiers corrompus, ce qui conduit à l’activation de codes QR intégrés qui les redirigent vers de faux sites Web conçus pour récolter des informations d’identification ou diffuser des logiciels malveillants.
Les experts en sécurité soulignent l’importance de sensibiliser les utilisateurs face à des tentatives de phishing de plus en plus complexes. Grimes a souligné la nécessité d’une formation de sensibilisation à la sécurité dans les organisations, en particulier lorsque les communications spécifiques à un rôle, telles que les primes des employés, servent d’appât aux programmes de phishing. « Vous ne voulez pas que les vrais escrocs soient les seuls à hameçonner vos collègues de cette façon », a-t-il déclaré.
Les mesures actives pour lutter contre ces menaces incluent l’amélioration des capacités de filtrage des e-mails pour détecter les modèles de corruption de fichiers ou de contenu suspect qui peuvent ne pas déclencher les alertes de sécurité traditionnelles. Ces dernières années, des stratégies telles que le blocage des macros dans les documents Microsoft Office ont été mises en œuvre pour atténuer les risques liés à des méthodes similaires d’exploitation de fichiers. L’évolution continue des tactiques de phishing, telles que l’intégration de liens malveillants dans les codes QR, nécessite des stratégies adaptatives de la part des professionnels de la cybersécurité et des organisations.
La prévalence croissante du phishing par code QR, également connu sous le nom de « quishing », ajoute une autre couche de complication, de nombreux utilisateurs ignorant les risques associés à la numérisation des codes. Les solutions de cybersécurité sont de plus en plus équipées de mesures améliorées de détection des codes QR, mais la sophistication des menaces fait que des vulnérabilités potentielles persistent.
Crédit image en vedette : Sasun Bughdaryan/Unsplash
