Một chiến dịch lừa đảo (phishing) mới đã được phát hiện, lợi dụng tính năng khôi phục tệp Word của Microsoft để phát tán tài liệu Word bị hỏng qua email, giúp chúng qua mặt các hệ thống bảo mật nhưng vẫn có thể được khôi phục được bằng ứng dụng.
Các tài liệu này được gửi dưới dạng tệp đính kèm từ các email giả danh bộ phận nhân sự hoặc tài chính, thường sử dụng các chủ đề như phúc lợi và tiền thưởng dành cho nhân viên.
Tất cả các tài liệu trong chiến dịch này đều bao gồm chuỗi được mã hóa base64 “IyNURVhUTlVNUkFORE9NNDUjIw”, giải mã thành “##TEXTNUMRANDOM45##”.
Khi mở tệp, Microsoft Word sẽ hiển thị thông báo rằng file “có nội dung không đọc được” và hỏi người dùng có muốn phục hồi nội dung hay không.
Sau khi phục hồi, tài liệu sẽ hiển thị một thông báo yêu cầu người dùng quét mã QR để truy cập tài liệu thực. Tinh vi hơn, những tài liệu này được gắn nhãn hiệu với logo của công ty mục tiêu, chẳng hạn như chiến dịch nhắm mục tiêu vào Daily Mail được hiển thị bên dưới.
Mã QR này dẫn đến một trang lừa đảo giả danh đăng nhập Microsoft, nhằm đánh cắp thông tin đăng nhập của nạn nhân. Cho dù mục tiêu cuối cùng của cuộc tấn công lừa đảo này không có gì mới, nhưng việc sử dụng các tài liệu Word bị lỗi là một chiến thuật lừa đảo mới, tinh vi hơn và khó bị phát hiện hơn.
Chuyên gia bảo mật từ Any.Run, công ty phát hiện ra chiến dịch phishing này, cho biết: “Mặc dù các tệp này hoạt động bình thường trên hệ điều hành (OS), nhưng hầu hết các giải pháp bảo mật vẫn không phát hiện ra chúng do các giải pháp này chưa áp dụng đúng phương pháp phân tích dành riêng cho kiểu file này, dẫn đến việc bỏ sót.”
“Khi các tệp này được tải lên công cụ kiểm tra VirusTotal, kết quả từ tất cả các phần mềm diệt virus cho thấy file “sạch” hoặc không thể xác định được (“Item Not Found”). Điều này xảy ra vì file không chứa mã độc rõ ràng hoặc không được phân tích đúng cách”.
Cách phòng tránh
Để được bảo vệ khỏi những chiến dịch lừa đảo kiểu này, VNCS Global khuyến cáo khách hàng tuân thủ các nguyên tắc bảo mật cơ bản:
- Xóa ngay email từ những người gửi không rõ nguồn gốc, đặc biệt là khi email có đính kèm file.
- Luôn xác nhận thông tin với bộ phận quản trị mạng trước khi mở bất kỳ tệp nào đáng ngờ.
- Duy trì cảnh giác, nâng cao ý thức an ninh mạng để đối phó với những mối đe dọa ngày càng tinh vi.
