Attention : une nouvelle attaque de phishing utilise des fichiers Word corrompus pour tromper les solutions de sécurité sur Windows

Rate this post

Phishing : une nouvelle attaque exploite la fonction de récupération de fichiers de Word et des documents volontairement corrompus pour tromper les solutions de sécurité présentes sur les machines Windows. Faisons le point sur cette menace.

Sommaire masquer

1 Une nouvelle méthode de phishing découverte

2 Noms de fichiers spécifiques utilisés

3 Le contenu des fichiers corrompus

4 Redirection vers une fausse page de connexion

5 Actualités similaires :

Une nouvelle méthode de phishing découverte

Les cybercriminels font preuve d’ingéniosité en exploitant des documents Word corrompus pour tromper les solutions de sécurité. Une campagne récemment découverte montre comment les pirates utilisent des pièces jointes Word pour inciter les utilisateurs à cliquer.

Noms de fichiers spécifiques utilisés

Les pirates utilisent des noms de fichiers spécifiques pour les documents Word, en les faisant passer comme provenant du service comptabilité ou des ressources humaines. Ces fichiers corrompus contiennent des informations sur des avantages et des primes pour les salariés.

Voici quelques exemples de noms de fichiers identifiés par les chercheurs :

Annual_Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx
Annual_Q4_Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin
Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin
Due_&_Payment_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin
Q4_Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin

Le contenu des fichiers corrompus

Lorsque l’utilisateur ouvre le document, Word indique que le document est corrompu et propose de récupérer le contenu. En réalité, les attaquants ont prévu cette étape pour inciter la victime à cliquer sur “Oui” pour récupérer le document.

Redirection vers une fausse page de connexion

Après avoir récupéré le document, celui-ci contient un QR code. Une fois scanné, l’utilisateur est redirigé vers une fausse page de connexion Microsoft 365 conçue pour voler les identifiants de l’utilisateur. Les pirates personnalisent ces documents pour ajouter le logo de l’entreprise ciblée, comme le journal Daily Mail dans un exemple donné.

Cette méthode perturbe les solutions de sécurité qui ne parviennent pas à analyser le fichier Word corrompu. Même les antivirus renvoient souvent un statut “clean” ou “Item Not Found”, car le contenu est difficile à analyser correctement.

En gardant à l’esprit que le document Word en lui-même ne contient pas de code malveillant, mais que le QR code est dangereux, il est essentiel de rester vigilant, même en période de prime de Noël.

Source : www.it-connect.fr

Julien Castex
Julien est un journaliste tech polyvalent avec une expérience couvrant divers aspects de la high tech, en passant par les smartphones et l'Intelligence Artificielle. Il écrit sur les dernières tendances technologiques, les startups et les projets innovants ainsi que les impacts de la technologie sur la société.
Voir toutes les publications