據Bleeping Computer消息,安全研究人員發現了一種新型的惡意軟件傳播活動,攻擊者通過使用PDF附件夾帶惡意的Word文檔,從而使用戶感染惡意軟件。
類似的惡意軟件傳播方式在以往可不多見。在大多數人的印象中,電子郵件是夾帶加載了惡意軟件宏代碼的DOCX或XLS附件的絕佳渠道,這也是釣魚郵件氾濫的原因所在。隨着人們對電子釣魚郵件的警惕性越來越高,以此對打開惡意Microsoft Office附件的瞭解越來越多,攻擊者開始轉向其他的方法來部署惡意軟件並逃避檢測。
其中,使用PDF來傳播惡意軟件就是攻擊者選擇的方向之一。在HP Wolf Security最新發布的報告中,詳細說明了PDF是如何被用作帶有惡意宏的文檔的傳輸工具,這些宏在受害者的機器上下載和安裝信息竊取惡意軟件。
在 PDF 中嵌入 Word
在HP Wolf Security發佈的報告中,攻擊者向受害人發送電子郵件,附件則是被命名爲“匯款發票”的PDF文件,而電子郵件的正文則是向收件人付款的模糊話術。
當用戶打開PDF文件時,Adobe Reader會提示用戶打開其中包含的DOCX文件。顯然,這樣的操作很不尋常,讓人感到迷之疑惑。因此攻擊者巧妙地將嵌入的Word文檔命名爲“已驗證”,那麼彈出的“打開文件”提示聲明就會變成文件是“已驗證的”。
此時,出於對Adobe Reader或其他PDF閱讀器的信任,很多用戶就會被誘導下載並打開該惡意文件,惡意軟件也就進入了受害者的電腦中。
請求操作批准的對話框 (HP)
雖然專業的網絡安全研究人員或惡意軟件分析師可以使用解析器和腳本檢查PDF中的嵌入文件,但是對於普通用戶來說,收到此類PDF文件卻很難解決其中的問題,往往是在不知情的情況下中招。
因此,許多人可能會在Microsoft Word中打開DOCX文件,如果啓用了宏,將從遠程資源下載RTF(富文本格式)文件並打開它。
獲取 RTF 文件 (HP)的 GET 請求
值得一提的是,攻擊者通過編輯好的命令讓RTF自動下載,嵌入在 Word 文件中以及硬編碼的URL“vtaurl[.]com/IHytw”,這是託管有效負載的位置。
利用舊的漏洞
RTF文檔名爲“f_document_shp.doc”,包含格式錯誤的OLE對象,很可能會逃避系統的檢測分析。經過一些有針對性的重建後,HP的安全研究人員發現它試圖利用舊的Microsoft Equation Editor漏洞來運行任意代碼。
呈現有效載荷的解密 shellcode (HP)
部署的shellcode是利用了CVE-2017-11882漏洞,這是方程式編輯器中的一個遠程代碼執行錯誤,已於2017年11月修復,但是目前依舊還在被利用。此前,該漏洞披露後就引起黑客的廣泛關注,其緩慢的修補過程使其成爲2018 年被利用最多的漏洞之一。
通過利用 CVE-2017-11882,RTF中的shellcode下載並運行Snake Keylogger,這是一個模塊化的信息竊取程序,具有強大的持久性、防禦規避、憑據訪問、數據收集和數據泄露功能。
參考來源:
聲明:本文相關資訊來自http://FreeBuf.COM,版權歸作者所有,轉載目的在於傳遞更多信息。如有侵權,請聯繫本站刪除。