隐秘攻击：受损的Microsoft Office文档成为新型网络钓鱼工具

最近的网络钓鱼攻击中，不法分子开始利用损坏的Microsoft Office文档和压缩文件来规避安全检测。

研究指出，这些文件被有意破坏，以绕过电子邮件过滤器和防病毒软件的扫描，并在沙盒环境中无法正常打开。然而，当使用特定的应用程序（如Microsoft Word用于DOCX文件，WinRAR用于ZIP档案）时，这些文件依然能够被恢复并读取。

网络安全专家称，这是一种新的、巧妙的方法，用来绕过内容过滤的安全防御。攻击者不仅需要制造出能干扰内容过滤的损坏文档，而且还要确保损坏的程度恰到好处，以便Word可以成功恢复它。

这项策略自2024年8月起就已被观察到，其中一些文档内嵌有二维码，链接至伪装成微软账户登录页面的钓鱼网站。这些文件通常通过电子邮件发送，伪装成关于目标员工薪资或福利的通知。

由于这些文件处于受损状态，许多防病毒软件未能识别其恶意性质。上传到VirusTotal的一个附件并未触发任何警报，反病毒解决方案报告该文件为“干净”或“未找到威胁”。尽管如此，像Microsoft Word这样的应用程序具备恢复功能，能够将某些类型的损坏文件恢复到可读状态，从而让隐藏的钓鱼链接暴露在用户面前。

即使这些文件能在操作系统中运行，但由于没有使用正确的程序打开它们，大多数安全解决方案仍未能检测到其恶意意图。 交互式沙盒环境能够在相应的程序中启动文件，从而有助于发现恶意行为。这种攻击手法代表了攻击者对网络钓鱼附件的创新应用，他们经常通过操纵文件格式来躲避安全系统的检测。例如，过去曾有案例显示，恶意软件被隐藏在Office文档的宏中，或者通过多语言文件（即包含多种文件类型）的方式进行传播，增加了安全软件正确解析的难度。此外，随着二维码的流行，攻击者也越来越多地采用二维码作为隐藏恶意链接的一种手段，而大多数二维码攻击都是通过电子邮件实施的。

尽管许多电子邮件安全解决方案已经加强了对二维码的检测，但部分过滤器仍然难以应对二维码带来的挑战，这使得此类规避技术更加危险。这也强调了提高用户警惕性的重要性，特别是在面对那些提供员工奖金和福利的网络钓鱼企图时。