การโจมตี Phishing หลอกขโมยข้อมูลยังคงเกิดขึ้นอย่างต่อเนื่อง ล่าสุด ทาง Any.Run บริษัท Malware Hunting ได้ค้นพบแคมเปญ Phishing ใหม่ ส่งไฟล์ Word ที่เสียหายผ่านเมล เพื่อให้ผู้ใช้ Recovery ด้วย Word แล้วหลอกเก็บข้อมูลส่วนบุคคลไป
🚨ALERT: Potential ZERO-DAY, Attackers Use Corrupted Files to Evade Detection 🧵 (1/3)
⚠️ The ongoing attack evades #antivirus software, prevents uploads to sandboxes, and bypasses Outlook’s spam filters, allowing the malicious emails to reach your inboxThe #ANYRUN team… pic.twitter.com/0asnG72Gm9
— ANY.RUN (@anyrun_app) November 25, 2024
Threat Actor ยังคงหาแนวทางใหม่ในการโจมตีอย่างต่อเนื่อง ล่าสุดคือการส่งไฟล์ Word ที่เสียหายแนบผ่านอีเมลเพื่อให้ผู้ใช้ Recovery แล้วแสดงขึ้นมาเป็นหน้าจอปลอมเพื่อให้ผู้ใช้งาน Login บน Microsoft หากแต่แท้จริงแล้วเป็นการ Phishing เพื่อหลอกขโมยข้อมูล
โดยไฟล์แนบที่ส่งผ่านอีเมลนั้นจะมาในหลากหลายรูปแบบซึ่งจะเกี่ยวข้องกับตัวพนักงาน เช่น สิทธิประโยชน์ โบนัส รายงานผลประกอบการ รายการชำระเงิน เป็นต้น ซึ่งเอกสารมักจะมีข้อความที่เป็น Base64 Encode ไว้อยู่
Credit : BleepingComputer
และเมื่อเปิดไฟล์แนบ Microsoft Word จะตรวจจับว่าเป็นไฟล์ที่เสียหาย ซึ่งจะร้องขอให้ผู้ใช้งานทำการ Recovery โดยไฟล์นั้นจะสามารถ Recovery ได้โดยง่ายและแสดงเป็นหน้าเอกสารที่มี QR Code ให้สแกนเพื่อดึงอีกเอกสารหนึ่งขึ้น แต่แท้จริงแล้ว QR Code
นั้นจะส่งไปที่หน้าเว็บไซต์ Phishing ปลอมที่ทำเหมือนหน้าเว็บไซต์ของ Microsoft ในการยืนยันตัวตน เพื่อหลอกขโมย Credential ของผู้ใช้ไป
Credit : BleepingComputer
หากใครพบเจอการเหตุการณ์ในลักษณะดังกล่าวโดยมาจากผู้ส่งที่เป็นใครก็ไม่รู้ ให้มองว่าเป็นการโจมตี Phishing ไว้ก่อน ซึ่งควรจะลบอีเมลดังกล่าวออกไปทันที หรือให้ยืนยันกับผู้ดูแลระบบก่อนที่จะเปิดไฟล์แนบจะเป็นการดีที่สุด
———————————————————————————————————————————————————————————
ที่มา : Techtalkthai / วันที่เผยแพร่ 2 ธ.ค.67
Link : https://www.techtalkthai.com/new-phishing-campaign-uses-corrupted-word-files-to-bypass-security-systems/
