Новый способ обхода фильтров электронных писем

[ДокTor]

Занимающиеся фишингом киберпреступники нашли новый способ, который позволяет обойти сервисы проверки электронных писем и доставить жертвам вредоносные документы Office. Суть этого метода заключается в удалении злонамеренных ссылок из файла связей (xml.rels). Такая техника была обнаружена в недавних вредоносных кампаниях, в ходе которых пользователей пытались заманить на страницы, похищающие учетные данные. «Документы Office (.docx, .xlsx, .pptx) созданы из определенного количества XML-файлов, которые включают шрифты, форматирование, изображения и информацию об объектах — все это формирует правильный документ», — объясняет эксперт компании Avanan, занимающейся безопасностью облачных платформ. Файл xml.rels определяет связи внутри этих файлов, а также связи с ресурсами, находящимися вне этих файлов. Если документ содержит ссылки, они будут включены в этот файл. Большинство фильтров электронных писем сканируют вложения на наличие вредоносного контента. В ходе таких сканирований имеющиеся в документах ссылки сверяются с базой данных вредоносных веб-ресурсов. Однако некоторые системы пропускают этот шаг, проверяя только содержимое файла связей. «Если документ будет содержать ссылки, которые не включены в файл xmls.rels, такие парсеры не увидят его. Однако они остаются в документе и они кликабельны», — говорят исследователи.