黑客经常滥用武器化的 Word 文档，因为它们可能包含宏，这些宏包含或利用 Word 文件内部的缺陷，在目标受害者打开时运行破坏性代码。

攻击者可以利用此工具向目标系统传递有效负载或通过简单地向目标发送带有 Word 文件来对目标系统进行未经授权的访问，大多数情况下可以逃避安全系统。

Cyble 的网络安全研究人员发现，黑客一直在积极使用武器化的 Word 文档进行二维码网络钓鱼攻击。

二维码钓鱼攻击

QR 码网络钓鱼攻击最近激增，利用该技术的普遍性和用户的熟悉度将用户重定向到窃取凭证的网站。

2024 年，此类攻击与 2023 年底相比增加了 22%，其中 89.3% 旨在窃取凭证。

攻击者在电子邮件、文档和公共场所嵌入恶意二维码，利用它们来掩盖攻击目的。

最近的一次活动使用 Microsoft Word 文档冒充中国政府机构，其中包含未被发现的二维码，提示用户进行身份验证以获取虚假补贴，目的是收集财务数据，就像 Fortinet 记录的 2023 年 1 月事件一样。

恶意二维码会将受害者重定向到由 DGA 生成的域，该域中托管着一个冒充中国人力资源部的钓鱼网站。

Cyble报告称，该域名解析为 IP 20.2.161.134，其托管与大规模网络钓鱼活动相关的其他几个子域名（.tiozl.cn 和 .zcyyl.com）。

SSH 主机密钥指纹将此 IP 与香港 AS8075 中的其他 17 个 IP 联系起来，这些 IP 带有类似的钓鱼 URL。登录页面显示虚假的劳动力补贴诱饵，然后从受害者那里获取输入的个人信息，例如姓名和国民身份证。

最后，钓鱼网站会提示受害者输入银行卡号、电话号码和余额进行虚假验证，从而获取受害者的姓名和身份证件，进行未经授权的交易。

该加载屏幕之后会提示输入用于进行国内信用卡支付的提款密码。

攻击者利用卡的完整详细信息进行未经授权的交易，这些密码可能会导致财务损失。

转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/k4dn1rZaUfeq6hdSAosINQ

封面来源于网络，如有侵权请联系删除