Les chercheurs en cybersécurité ont attiré l’attention sur une nouvelle campagne de phishing qui exploite des documents Microsoft Office et des archives ZIP corrompus pour contourner les défenses de messagerie.
« L’attaque en cours échappe au logiciel #antivirus, empêche les téléchargements vers les bacs à sable et contourne les filtres anti-spam d’Outlook, permettant ainsi aux e-mails malveillants d’atteindre votre boîte de réception », ANY.RUN dit dans une série d’articles sur X.
L’activité malveillante consiste à envoyer des e-mails contenant des archives ZIP ou des pièces jointes Office intentionnellement corrompues de telle manière qu’elles ne peuvent pas être analysées par les outils de sécurité. Ces messages visent à inciter les utilisateurs à ouvrir les pièces jointes contenant de fausses promesses d’avantages sociaux et de primes.
En d’autres termes, l’état corrompu des fichiers signifie qu’ils ne sont pas signalés comme suspects ou malveillants par les filtres de messagerie et les logiciels antivirus.
Cependant, l’attaque fonctionne toujours car elle tire parti des mécanismes de récupération intégrés de programmes tels que Word, Outlook et WinRAR pour relancer ces fichiers endommagés en mode de récupération.
ANY.RUN a révélé que la technique d’attaque était utilisée par les acteurs malveillants au moins depuis août 2024, la décrivant comme un jour zéro potentiel exploité pour échapper à la détection.
L’objectif final de ces attaques est d’inciter les utilisateurs à ouvrir des documents piégés, qui intègrent des codes QR qui, une fois scannés, redirigent les victimes vers des sites Web frauduleux pour le déploiement de logiciels malveillants ou de fausses pages de connexion pour le vol d’informations d’identification.
Les résultats illustrent une fois de plus à quel point les acteurs malveillants sont constamment à la recherche de techniques inédites pour contourner les logiciels de sécurité de la messagerie et garantir que leurs e-mails de phishing atterrissent dans les boîtes de réception des cibles.
« Bien que ces fichiers fonctionnent correctement au sein du système d’exploitation, ils restent non détectés par la plupart des solutions de sécurité en raison de l’incapacité d’appliquer les procédures appropriées pour leurs types de fichiers », a déclaré ANY.RUN.
« Le fichier reste indétectable par les outils de sécurité, mais les applications utilisateur le gèrent de manière transparente grâce aux mécanismes de récupération intégrés exploités par les attaquants. »