Beschadigde Microsoft Office-documenten en ZIP-bestanden worden gebruikt in een phishing-campagne die antivirusdetectie omzeilt, aldus ELKE.RUN. Deze tactiek, die in ieder geval sinds augustus 2024 wordt gebruikt, houdt in dat bestanden opzettelijk worden beschadigd om e-mailbeveiligingsmaatregelen te omzeilen en tegelijkertijd het herstel van schadelijke inhoud mogelijk te maken.
Beschadigde Microsoft Office-bestanden gebruikt in nieuwe phishing-tactiek
ANY.RUN meldde dat beschadigde documenten zo zijn ontworpen dat ze langs e-mailfilters en antivirussoftware glippen, waardoor phishing-e-mails gerichte gebruikers kunnen bereiken. In tegenstelling tot conventionele malware worden deze bestanden niet als verdacht gemarkeerd vanwege hun beschadigde status, wat de scanmogelijkheden belemmert. De phishing-campagne maakt gebruik van QR-codes in documenten om gebruikers naar frauduleuze inlogpagina’s van Microsoft-accounts te leiden, waarmee legitieme communicatie over werknemersbonussen en -voordelen wordt nagebootst.
Uit voorbeelden van deze documenten, geanalyseerd door ANY.RUN, blijkt dat bijlagen die op deze manier worden afgeleverd vaak geen kwaadaardige vlaggen opleveren wanneer ze worden getest met VirusTotal. Oplichters hebben corrupte documenten ontwikkeld die speciaal zijn ontworpen om inhoudsfilters te omzeilen en tegelijkertijd voldoende integriteit te behouden zodat Microsoft Word ze kan herstellen.
De kwaadaardige bestanden die in deze campagne worden gebruikt, zijn ontworpen om de herstelfunctionaliteiten van Microsoft Word en WinRAR te misbruiken. Door de integriteit van de bestanden te manipuleren, zorgen aanvallers ervoor dat wanneer gebruikers deze documenten openen, de ingebouwde herstelfuncties de bestanden leesbaar maken, waardoor hun kwade bedoelingen worden gemaskeerd. Met deze techniek kunnen aanvallers de traditionele scanmethoden, waar veel beveiligingssoftware op vertrouwt, effectief omzeilen.
Uit onderzoek is gebleken dat dit een potentiële zero-day-exploit is, waaruit blijkt dat bedreigingsactoren een geavanceerd inzicht hebben in de softwaremechanismen. Het doel blijft duidelijk: gebruikers worden misleid om deze beschadigde bestanden te openen, wat leidt tot de activering van ingebedde QR-codes die hen omleiden naar nepwebsites die zijn ontworpen om inloggegevens te verzamelen of malware te leveren.
Beveiligingsexperts benadrukken het belang van gebruikersbewustzijn in het licht van steeds complexere phishing-pogingen. Grimes benadrukte de noodzaak van training in beveiligingsbewustzijn in organisaties, vooral wanneer rolspecifieke communicatie zoals werknemersbonussen als lokaas voor phishing-programma’s dient. “Je wilt niet dat de echte oplichters de enigen zijn die op deze manier je collega’s phishing,” zei hij.
Actieve maatregelen om deze bedreigingen te bestrijden zijn onder meer het verbeteren van de mogelijkheden voor het filteren van e-mail om patronen van bestandsbeschadiging of verdachte inhoud te detecteren die mogelijk geen traditionele beveiligingswaarschuwingen activeren. De afgelopen jaren zijn strategieën zoals het blokkeren van macro’s in Microsoft Office-documenten geïmplementeerd om de risico’s van vergelijkbare methoden voor bestandsexploitatie te beperken. De voortdurende evolutie van phishing-tactieken, zoals het insluiten van kwaadaardige links in QR-codes, vereist adaptieve strategieën van zowel cyberbeveiligingsprofessionals als organisaties.
De toenemende prevalentie van phishing met QR-codes, ook wel ‘quishing’ genoemd, voegt nog een extra laag complicaties toe, waarbij veel gebruikers zich niet bewust zijn van de risico’s die gepaard gaan met het scannen van codes. Cyberbeveiligingsoplossingen worden steeds uitgerust met verbeterde detectiemaatregelen voor QR-codes, maar de verfijning van de bedreigingen zorgt ervoor dat potentiële kwetsbaarheden blijven bestaan.
Uitgelichte afbeeldingscredits: Sasun Bughdaryan/Unsplash
