摘要：一种新的网络钓鱼攻击滥用 Microsoft 的 Word 文件恢复功能，将损坏的 Word 文档作为电子邮件附件发送，从而使它们能够由于损坏状态而绕过安全软件，但仍可被应用程序恢复。

一种新的网络钓鱼攻击滥用 Microsoft 的 Word 文件恢复功能，将损坏的 Word 文档作为电子邮件附件发送，从而使它们能够由于损坏状态而绕过安全软件，但仍可被应用程序恢复。

威胁组织不断寻找新方法来绕过电子邮件安全软件并将他们的网络钓鱼电子邮件放入目标收件箱中。

Any.Run发现了一项新的网络钓鱼活动，该活动利用故意损坏的 Word 文档作为电子邮件附件，假装来自工资和人力资源部门。

这些附件采用多种主题，均围绕员工福利和奖金，其中包括：

Annual_Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx

Annual_Q4_Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin

Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin

Due_&_Payment_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin

Q4_Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin

此次活动中的文档均包含 base64 编码的字符串“IyNURVhUTlVNUkFORE9NNDUjIw”，解码后为“##TEXTNUMRANDOM45##”。

打开附件时，Word 将检测到文件已损坏并显示“在文件中发现无法读取的内容”，询问您是否要恢复。

钓鱼邮件中发送的损坏 Word 文档，来源：BleepingComputer

这些钓鱼文档被破坏，因此很容易恢复，显示一个文档，告诉目标扫描二维码以检索文档。如下所示，这些文档带有目标公司的徽标，例如下面显示的针对每日邮报的活动。

修复的Word文档，来源：BleepingComputer

扫描二维码会将用户带到一个伪装成 Microsoft 登录的钓鱼网站，试图窃取用户的凭据。

窃取 Microsoft 凭证的钓鱼页面，来源：BleepingComputer

Any.Run 解释道：“尽管这些文件在操作系统内成功运行，但由于未能针对其文件类型应用适当的程序，因此大多数安全解决方案都无法检测到它们。”

“它们被上传到 VirusTotal，但所有防病毒解决方案都返回“干净”或“未找到项目”，因为它们无法正确分析该文件。”

这些附件已经相当成功地实现了它们的目标。

从与 BleepingComputer 共享并用于此活动中的附件来看，几乎所有附件在 VirusTotal 上都没有被检测到，只有2 家供应商检测到了一些。

同时，因为文档中没有添加任何恶意代码，而只是显示一个二维码。从而未被检测到。

新闻链接：

来源：会杀毒的单反狗