據(jù)Bleeping Computer消息��,安全研究人員發(fā)現(xiàn)了一種新型的惡意軟件傳播活動(dòng)���,攻擊者通過使用PDF附件夾帶惡意的Word文檔�����,從而使用戶感染惡意軟件���。
類似的惡意軟件傳播方式在以往可不多見。在大多數(shù)人的印象中�����,電子郵件是夾帶加載了惡意軟件宏代碼的DOCX或XLS附件的絕佳渠道,這也是釣魚郵件泛濫的原因所在����。隨著人們對電子釣魚郵件的警惕性越來越高,以此對打開惡意Microsoft Office附件的了解越來越多�����,攻擊者開始轉(zhuǎn)向其他的方法來部署惡意軟件并逃避檢測���。
其中,使用PDF來傳播惡意軟件就是攻擊者選擇的方向之一�。在HP Wolf Security最新發(fā)布的報(bào)告中,詳細(xì)說明了PDF是如何被用作帶有惡意宏的文檔的傳輸工具�,這些宏在受害者的機(jī)器上下載和安裝信息竊取惡意軟件。
在 PDF 中嵌入 Word
在HP Wolf Security發(fā)布的報(bào)告中����,攻擊者向受害人發(fā)送電子郵件,附件則是被命名為“匯款發(fā)票”的PDF文件����,而電子郵件的正文則是向收件人付款的模糊話術(shù)。
當(dāng)用戶打開PDF文件時(shí)�����,Adobe Reader會(huì)提示用戶打開其中包含的DOCX文件。顯然�����,這樣的操作很不尋常���,讓人感到迷之疑惑���。因此攻擊者巧妙地將嵌入的Word文檔命名為“已驗(yàn)證”,那么彈出的“打開文件”提示聲明就會(huì)變成文件是“已驗(yàn)證的”����。
此時(shí),出于對Adobe Reader或其他PDF閱讀器的信任���,很多用戶就會(huì)被誘導(dǎo)下載并打開該惡意文件����,惡意軟件也就進(jìn)入了受害者的電腦中�����。
雖然專業(yè)的網(wǎng)絡(luò)安全研究人員或惡意軟件分析師可以使用解析器和腳本檢查PDF中的嵌入文件,但是對于普通用戶來說�����,收到此類PDF文件卻很難解決其中的問題�,往往是在不知情的情況下中招。
因此����,許多人可能會(huì)在Microsoft Word中打開DOCX文件,如果啟用了宏�����,將從遠(yuǎn)程資源下載RTF(富文本格式)文件并打開它����。
值得一提的是�,攻擊者通過編輯好的命令讓RTF自動(dòng)下載,嵌入在 Word 文件中以及硬編碼的URL“vtaurl[.]com/IHytw”�����,這是托管有效負(fù)載的位置���。
利用舊的漏洞
RTF文檔名為“f_document_shp.doc”�����,包含格式錯(cuò)誤的OLE對象��,很可能會(huì)逃避系統(tǒng)的檢測分析����。經(jīng)過一些有針對性的重建后,HP的安全研究人員發(fā)現(xiàn)它試圖利用舊的Microsoft Equation Editor漏洞來運(yùn)行任意代碼�。
部署的shellcode是利用了CVE-2017-11882漏洞,這是方程式編輯器中的一個(gè)遠(yuǎn)程代碼執(zhí)行錯(cuò)誤�����,已于2017年11月修復(fù)��,但是目前依舊還在被利用�。此前,該漏洞披露后就引起黑客的廣泛關(guān)注�,其緩慢的修補(bǔ)過程使其成為2018 年被利用最多的漏洞之一。
通過利用 CVE-2017-11882�,RTF中的shellcode下載并運(yùn)行Snake Keylogger,這是一個(gè)模塊化的信息竊取程序��,具有強(qiáng)大的持久性、防御規(guī)避����、憑據(jù)訪問、數(shù)據(jù)收集和數(shù)據(jù)泄露功能�����。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
