แคมเปญฟิชชิ่งรูปแบบใหม่ ใช้เอกสาร Word เสียหาย หลบเลี่ยงระบบความปลอดภัยได้อย่างแนบเนียน

บริษัท Any.Run ผู้เชี่ยวชาญด้านการวิเคราะห์มัลแวร์ ได้เปิดเผยแคมเปญฟิชชิ่งใหม่ที่ใช้ เอกสาร Word ที่เสียหาย เป็นเครื่องมือในการหลอกลวง โดยไฟล์แนบเหล่านี้มักแฝงตัวมาในอีเมลที่แอบอ้างเป็นแผนกเงินเดือนหรือทรัพยากรบุคคล พร้อมหัวข้อเกี่ยวกับผลประโยชน์และโบนัสของพนักงาน เช่น “Annual Benefits & Bonus” หรือ “Payment Details”

อีเมลฟิชชิ่ง
แหล่งที่มา: BleepingComputer

วิธีการโจมตี

1. ส่งเอกสารที่เสียหาย: เอกสาร Word ถูกตั้งใจทำให้เสียหายเพื่อหลีกเลี่ยงการตรวจจับจากซอฟต์แวร์ความปลอดภัย เมื่อผู้ใช้เปิดไฟล์ Word จะปรากฏข้อความแจ้งว่าไฟล์เสียหายและเสนอให้กู้คืนข้อมูล
2. การหลอกลวงด้วย QR Code: เมื่อกู้คืนไฟล์สำเร็จ เอกสารจะมีโลโก้บริษัทที่เป็นเป้าหมายและแสดง QR Code พร้อมคำแนะนำให้สแกน
3. เป้าหมายสุดท้าย: QR Code นำผู้ใช้ไปยังเว็บไซต์ฟิชชิ่งที่แอบอ้างเป็นหน้าล็อกอินของ Microsoft เพื่อขโมยข้อมูลประจำตัว

จุดเด่นของเทคนิค

• หลบเลี่ยงซอฟต์แวร์ป้องกันไวรัส: เอกสารเหล่านี้ไม่มีโค้ดที่เป็นอันตรายโดยตรง ทำให้โปรแกรมป้องกันไวรัสส่วนใหญ่ไม่สามารถตรวจจับได้ บน VirusTotal มีการรายงานว่าไฟล์เหล่านี้ถูกมองว่า “สะอาด”
• ใช้ประโยชน์จากฟีเจอร์กู้คืนไฟล์ของ Microsoft Word: การโจมตีอาศัยคุณสมบัติกู้คืนไฟล์ที่เสียหาย ทำให้ผู้ใช้เชื่อถือและดำเนินการตามคำแนะนำในเอกสาร

แนวทางป้องกัน

1. หลีกเลี่ยงการเปิดอีเมลหรือไฟล์แนบจากผู้ส่งที่ไม่รู้จัก
2. หากไฟล์แนบมีลักษณะน่าสงสัย ควรยืนยันกับผู้ดูแลระบบเครือข่ายก่อน
3. ไม่สแกน QR Code จากแหล่งที่ไม่น่าเชื่อถือ

แม้ว่าเป้าหมายของการโจมตีจะยังคงเป็นการขโมยข้อมูลประจำตัวแบบดั้งเดิม แต่การใช้เอกสาร Word ที่เสียหายถือเป็นกลวิธีใหม่ที่มีประสิทธิภาพสูง โดยเฉพาะอย่างยิ่งเมื่อระบบความปลอดภัยยังไม่สามารถตรวจจับได้อย่างแม่นยำ ผู้ใช้งานจึงควรเพิ่มความระมัดระวังในการจัดการอีเมลและไฟล์แนบ เพื่อหลีกเลี่ยงการตกเป็นเหยื่อของการโจมตีในรูปแบบนี้.

ข้อมูล และ รูปภาพจาก https://www.bleepingcomputer.com/news/security/novel-phising-campaign-uses-corrupted-word-documents-to-evade-security/