https://x.com/anyrun_app/status/1861024182210900357
https://app.any.run/tasks/6839e806-56b6-4504-99a4-cc41c9b509df/
一项复杂的新型网络钓鱼活动正在利用一种新技术绕过传统安全措施,将恶意负载直接发送到用户的收件箱。恶意软件搜寻公司 ANY.RUN 发现,该攻击利用了损坏的 Word 文档,这些文档可以逃避防病毒软件、Outlook 垃圾邮件过滤器甚至沙盒环境的检测。
这种狡猾的攻击利用了操作系统和 Microsoft Word 和 WinRAR 等应用程序内置的文件恢复机制。通过故意破坏文件结构,攻击者使文件在传统安全工具中基本不可见。虽然这些文件似乎已损坏,但仍然可以打开和执行,从而使恶意代码得以在不被发现的情况下运行。
损坏的文件通常会伪装成常见的格式,例如 ZIP 存档或 MS Office 文档。当安全解决方案尝试分析这些文件时,由于结构损坏,它们通常无法识别其真实性质。在许多情况下,扫描过程会提前终止,从而让恶意文件逍遥法外。
这些损坏文件中的恶意代码增加了另一层隐蔽性,只有在启用恢复模式的特定应用程序中打开时才会激活。这种有针对性的执行策略进一步降低了在自动化安全环境中被检测到的可能性。
ANY.RUN 强调了交互式沙盒在对抗此类复杂威胁方面的关键作用。传统的静态分析方法通常无法有效抵御这些规避技术。另一方面,交互式沙盒允许进行动态分析和行为观察,从而更全面地了解文件的真实意图。