Campanha de phishing usa documentos Word corrompidos

Uma campanha de phishing está a usar ficheiros do Microsoft Word corrompidos, e o processo de recuperação de ficheiros, para evitar a detecção..

Em vez de documentos Word normais anexados aos emails, os atacantes enviam documentos do Word corrompidos que se fazem passar por mensagens de departamentos de recursos humanos ou pagamentos. Como os ficheiros estão danificados, conseguem escapar à detecção dos antivírus, mas podem ser abertos e "recuperados" no Word.

Ao abrir o ficheiro, o documento recuperado apresenta logótipos da empresa alvo e um código QR. Este código redirecciona a vítima para um site de phishing que imita uma página de login da Microsoft, com o objectivo de roubar credenciais. Esta táctica é eficaz porque muito software de segurança não consegue efectuar o processo de verificação e detecção em ficheiros danificados, e por isso não os sinaliza como ameaça.

Os documentos usados nesta campanha não contêm código malicioso, o que os torna ainda mais difíceis de identificar. Testes realizados no VirusTotal revelaram que muitos destes ficheiros não são detectados (ainda) por nenhum dos sistemas de detecção, o que salienta o risco acrescido desta táctica.

Como tal, há que relembrar as habituais recomendações de segurança, tratando todo o tipo de anexos em emails como sendo potencialmente suspeitos, especialmente vindo de origem desconhecida, e aplicar o mesmo a todo o tipo de códigos QR, que são uma forma fácil de mascarar endereços de uma forma não directamente legível pelos humanos.