最新网络钓鱼活动利用损坏的 Word 文档来规避检测

新出现的网络钓鱼攻击滥用 Microsoft 的 Word 文件恢复功能，将损坏的 Word 文档作为电子邮件附件发送，使它们能够绕过安全软件，但仍可由应用程序恢复。

威胁者不断寻找新方法来绕过电子邮件安全软件并将网络钓鱼电子邮件放入目标的收件箱中。恶意软件狩猎公司 Any.Run 发现了一种新的网络钓鱼活动，利用故意损坏的 Word 文档作为电子邮件中的附件。

网络钓鱼电子邮件

这些附件使用广泛的主题，几乎全部围绕员工福利和奖金。打开附件时，Word 将检测到文件已损坏，并指出它在文件中“发现不可读的内容”，询问您是否要恢复它。

通过网络钓鱼电子邮件发送的 Word 文档已损坏

这些网络钓鱼文档的损坏方式很容易恢复，并显示一个文档，告诉目标扫描二维码以检索文档。如下所示，这些文档都带有目标公司的徽标，例如下面所示的示例：

修复后的Word文档

扫描二维码会将用户带到一个冒充 Microsoft 登录名的钓鱼网站，试图窃取用户的凭据。

网络钓鱼页面窃取 Microsoft 凭据

虽然这种网络钓鱼攻击的最终目标并不新鲜，但它使用损坏的 Word 文档是一种逃避检测的新策略。尽管这些文件在操作系统中可以成功运行，但由于未能对其文件类型应用正确的程序，大多数安全解决方案仍然无法检测到它们。

它们已上传到 VirusTotal，但所有防病毒解决方案都返回“干净”或“未找到项目”，因为它们无法正确分析该文件。因此，这些附件相当成功地实现了他们的目标。

从附件来看，几乎所有附件在 VirusTotal 上的检测量都是 [0，1，2，3，4]，只有一些 [1] 由 2 个供应商检测到。同时，这也可能是由于文档中没有添加恶意代码，仅显示二维码所致。一般规则仍然适用于保护用户免受网络钓鱼攻击。

如果收到来自未知发件人的电子邮件，尤其是包含附件的电子邮件，应立即将其删除或在打开之前与网络管理员确认。

参考及来源：https://www.bleepingcomputer.com/news/security/novel-phishing-campaign-uses-corrupted-word-documents-to-evade-security/