Peretas telah lama menggunakan dokumen Word dan Excel sebagai kendaraan pengiriman untuk malware, dan pada tahun 2025, trik -trik ini jauh dari ketinggalan zaman. Dari skema phishing hingga eksploitasi klik nol, file kantor berbahaya masih merupakan salah satu cara termudah ke dalam sistem korban.
Berikut adalah tiga eksploitasi teratas yang berbasis di Microsoft Office yang masih membuat putaran tahun ini dan apa yang perlu Anda ketahui untuk menghindarinya.
1. Phishing di kantor MS: Favorit masih peretas
Serangan phishing menggunakan file Microsoft Office telah ada selama bertahun -tahun, dan mereka masih kuat. Mengapa? Karena mereka bekerja, terutama di lingkungan bisnis di mana tim terus -menerus bertukar kata dan unggul dokumen.
Penyerang tahu bahwa orang terbiasa membuka file kantor, terutama jika mereka berasal dari apa yang tampak seperti kolega, klien, atau mitra. Faktur palsu, laporan bersama, atau tawaran pekerjaan: Tidak perlu banyak untuk meyakinkan seseorang untuk mengklik. Dan begitu file terbuka, penyerang memiliki kesempatan.
Phishing dengan file kantor sering bertujuan untuk mencuri kredensial login. Dokumen -dokumen ini mungkin termasuk:
- Tautan ke halaman login Microsoft 365 palsu
- Portal phishing yang meniru alat atau layanan perusahaan
- Rantai pengalihan yang akhirnya mendarat di situs pemanenan kredensial
Dalam sesi analisis malware apa pun ini, file Excel berisi tautan phishing berbahaya:
Lihat Sesi Analisis dengan File Excel
 |
| File excel yang berisi tautan berbahaya terdeteksi di dalam kotak pasir apa saja |
Saat diklik, korban dibawa ke halaman web yang menunjukkan cloudflare “memverifikasi Anda seorang manusia”.
 |
| Verifikasi CloudFlare disahkan dengan interaktivitas otomatis apa saja |
Setelah mengklik, ada pengalihan lagi; Kali ini ke halaman login Microsoft palsu.
 |
| Tautan berbahaya ke halaman login Microsoft palsu dengan karakter acak |
Sekilas, itu mungkin terlihat nyata. Tapi di dalam kotak pasir apa pun, mudah untuk melihat bendera merah. URL login Microsoft tidak resmi; Ini diisi dengan karakter acak dan jelas bukan milik domain Microsoft.
Berikan tim Anda alat yang tepat untuk mendeteksi, menyelidiki, dan melaporkan ancaman lebih cepat di lingkungan yang aman.
Dapatkan uji coba any.run untuk mengakses analisis malware canggih
Halaman login palsu ini adalah tempat korban tanpa sadar menyerahkan kredensial login mereka langsung ke penyerang.
Penyerang juga menjadi lebih kreatif. Akhir -akhir ini, beberapa dokumen phishing datang dengan kode QR yang tertanam di dalamnya. Ini dimaksudkan untuk dipindai dengan smartphone, mengirim korban ke situs web phishing atau memicu unduhan malware. Namun, mereka dapat dideteksi dan dianalisis dengan alat -alat seperti apa pun. Run Sandbox juga.
2. CVE-2017-11882: Eksploitasi Editor Persamaan yang Tidak Akan Mati
Pertama kali ditemukan pada tahun 2017, CVE-2017-11882 masih dieksploitasi hari ini, di lingkungan yang menjalankan versi Microsoft Office yang sudah ketinggalan zaman.
Kerentanan ini menargetkan editor Persamaan Microsoft – komponen yang jarang digunakan yang merupakan bagian dari bangunan kantor yang lebih tua. Mengeksploitasi itu sangat sederhana: hanya membuka file kata jahat dapat memicu eksploitasi. Tidak ada makro, tidak ada klik tambahan yang diperlukan.
Dalam hal ini, penyerang menggunakan cacat untuk mengunduh dan menjalankan muatan malware di latar belakang, seringkali melalui koneksi server jarak jauh.
Dalam sesi analisis kami, payload yang dikirim adalah Agen Tesla, pencari info yang diketahui yang digunakan untuk menangkap penekanan tombol, kredensial, dan data clipboard.
Lihat sesi analisis dengan muatan berbahaya
 |
| Email phishing yang berisi lampiran excel berbahaya |
Di bagian Mitre ATT & CK dari analisis ini, kita dapat melihat bagaimana ada. Run Sandbox mendeteksi teknik spesifik yang digunakan dalam serangan ini:
 |
| Eksploitasi editor persamaan yang terdeteksi oleh any.run |
Meskipun Microsoft menambal kerentanan bertahun -tahun yang lalu, ini masih berguna untuk sistem penargetan penyerang yang belum diperbarui. Dan dengan makro dinonaktifkan secara default di versi kantor yang lebih baru, CVE-2017-11882 telah menjadi fallback bagi penjahat cyber yang menginginkan eksekusi yang dijamin.
3. CVE-2022-30190: Follina masih dalam permainan
Eksploitasi Follina (CVE-2022-30190) terus menjadi favorit di antara penyerang karena satu alasan sederhana: berfungsi tanpa makro dan tidak memerlukan interaksi pengguna di luar membuka file kata.
Follina menyalahgunakan Microsoft Support Diagnostic Tool (MSDT) dan URL khusus yang tertanam dalam dokumen kantor untuk menjalankan kode jarak jauh. Itu berarti hanya melihat file sudah cukup untuk meluncurkan skrip jahat, seringkali berbasis PowerShell, yang menghubungi server perintah-dan-kontrol.
Lihat Sesi Analisis dengan Follina
 |
| Teknik Follina terdeteksi di dalam semua. Run Sandbox |
Dalam sampel analisis malware kami, serangan melangkah lebih jauh. Kami mengamati tag “Stegocampaign”, yang menunjukkan penggunaan steganografi – teknik di mana malware tersembunyi di dalam file gambar.
 |
| Penggunaan steganografi dalam serangan itu |
Gambar diunduh dan diproses menggunakan PowerShell, mengekstraksi muatan yang sebenarnya tanpa meningkatkan alarm langsung.
 |
| Gambar dengan muatan berbahaya dianalisis di dalam any.run |
Lebih buruk lagi, Follina sering digunakan dalam rantai serangan multi-tahap, menggabungkan kerentanan atau muatan lain untuk meningkatkan dampaknya.
Apa artinya ini bagi tim yang menggunakan MS Office
Jika tim Anda sangat bergantung pada Microsoft Office untuk pekerjaan sehari-hari, serangan yang disebutkan di atas haruslah panggilan bangun.
Penjahat dunia maya tahu file kantor dipercaya dan banyak digunakan dalam bisnis. Itu sebabnya mereka terus mengeksploitasi mereka. Baik itu lembar Excel sederhana yang menyembunyikan tautan phishing atau dokumen Word diam -diam menjalankan kode berbahaya, file -file ini dapat menimbulkan risiko serius bagi keamanan organisasi Anda.
Inilah yang dapat dilakukan tim Anda:
- Tinjau bagaimana dokumen kantor ditangani secara internal; Batasi siapa yang dapat membuka atau mengunduh file dari sumber luar.
- Gunakan alat seperti apapun Sandbox untuk memeriksa file yang mencurigakan di lingkungan yang aman dan terisolasi sebelum siapa pun di tim Anda membukanya.
- Perbarui semua perangkat lunak kantor secara teratur dan nonaktifkan fitur Legacy seperti makro atau editor persamaan jika memungkinkan.
- Tetap mendapat informasi Tentang teknik eksploitasi baru yang terkait dengan format kantor sehingga tim keamanan Anda dapat merespons dengan cepat.
Menganalisis malware seluler dengan dukungan OS Android baru apa pun
Ancaman itu tidak berhenti di file kantor. Perangkat seluler sekarang menjadi target utama, dan penyerang menyebarkan malware melalui aplikasi palsu, tautan phishing, dan apks berbahaya.
Ini berarti permukaan serangan yang berkembang untuk bisnis dan kebutuhan akan visibilitas yang lebih luas.
Dengan dukungan OS Android baru apa pun, tim keamanan Anda sekarang dapat:
- Menganalisis malware android di lingkungan seluler nyata
- Selidiki perilaku apk yang mencurigakan sebelum mencapai perangkat produksi
- Menanggapi ancaman seluler lebih cepat dan dengan lebih banyak kejelasan
- Mendukung respons insiden di seluruh ekosistem desktop dan seluler
Ini adalah langkah besar menuju cakupan lengkap dan tersedia di semua paket, termasuk gratis.
Mulailah analisis ancaman Android pertama Anda hari ini dan berikan visibilitas analis keamanan Anda untuk melindungi permukaan serangan seluler Anda.
