Дослідники компанії Avanan повідомили про нову фішингову загрозу, що дозволяє зловмисникам обходити фільтри Microsoft для відсіювання шкідливих файлів.
Зловмисники можуть приховувати шкідливі посилання завдяки уразливості в рішеннях для сканування електронної пошти, пов’язаної з синтаксичним аналізом посилань.
Атака, вперше зафіксована напередодні Дня святого Валентина, отримала назву NoRelationship. З її допомогою зловмисники можуть обходити реалізований Microsoft механізм фільтрації посилань Exchange Online Protection (EOP), призначений для сканування документів Office (в тому числі .docx, .xlsx і .pptx) і повідомлення користувачів у разі виявлення шкідливого контенту.
Під час атаки зловмисник відправляє жертві електронного листа з вкладенням .docx, що містить шкідливе посилання на фішингову web-сторінку. Для обходу фільтрів шкідливих URL він повинен видалити зовнішні посилання з файлу xml.rels (Open Office XML Relationships File), що зберігає список посилань з вкладення. Інструменти для синтаксичного аналізу посилань не завжди сканують документ повністю, а аналізують лише посилання в файлі xml.rels. Якщо атакуючий видалить шкідливі посилання з цього файлу, то для EOP вони залишаться невидимими.
Як відзначили дослідники, проблема зачіпає не тільки вбудовані в Office механізми безпеки, але також сканери ProofPoint і F-Secure. Однак обійти за допомогою NoRelationship рішення Microsoft Advanced Threat Protection (ATP) і аналізатор посилань Mimecast неможливо.
До речі, в Інтернеті зростає кількість фішинг-атак, жертвами яких стає все більше домашніх та корпоративних користувачів.
Зі зростанням активності подібних загроз спеціалісти ESET радять користувачам дотримуватися основних правил безпеки під час роботи в мережі Інтернет.