Bleeping Computerは12月1日(米国時間)、「Novel phishing campaign uses corrupted Word documents to evade security」において、破損したWord文書を悪用する新しいフィッシング攻撃が発見されたと報じた。

この攻撃はマルウェア分析サービスを手掛けるANY.RUNにより発見され、11月25日に進行中のゼロデイ攻撃としてXに概要が投稿されたことで明らかになった(参考:「ANY.RUNによるXへの投稿」)。

  • Novel phishing campaign uses corrupted Word documents to evade security

    Novel phishing campaign uses corrupted Word documents to evade security

破損したWord文書の役割

初期の侵害経路はフィッシングメールとされる。添付ファイルには従業員の福利厚生やボーナスを中心とした幅広いテーマに関連したファイル名が使用され、文字列「IyNURVhUTlVNUkFORE9NNDUjIw」を必ず含むことが確認されている。この文字列は攻撃に必要なコードではないことから、今回のキャンペーンを識別する無意味な文字列と推測される。

  • フィッシングメールの例 - 引用:Bleeping Computer

    フィッシングメールの例  引用:Bleeping Computer

これら添付ファイルを開くと、読み取り不可能なコンテンツが発見されたと伝えるメッセージが表示される。ファイルは回復できるように破損してあり、ユーザーが回復を選択するとQRコードを含む文書が表示される。

  • 回復後の悪意のある文書の例 - 引用:Bleeping Computer

    回復後の悪意のある文書の例  引用:Bleeping Computer

QRコードを読み取るとフィッシングサイトに誘導され、Microsoftのログイン画面に似せた偽のWebサイトが表示される。ユーザーがログインを試みると、認証情報を窃取される。

影響と対策

認証情報を窃取するフィッシング攻撃自体に目新しい部分はないが、破損したWord文書を使用する戦術は新しく、主要なセキュリティソリューションの検出を回避できるという。これはセキュリティソリューションに破損したファイルを分析できない問題があり、この隙をつく攻撃とされる。

Bleeping Computerは同様の攻撃を回避するため、フィッシング対策のベストプラクティスを実践するように推奨している。具体的には未知または不審な送信者からのメールは開かず、添付ファイルにも触れず破棄することを推奨している。