据Bleeping Computer消息,安全研究人员发现了一种新型的恶意软件传播活动,攻击者通过使用PDF附件夹带恶意的Word文档,从而使用户感染恶意软件。
类似的恶意软件传播方式在以往可不多见。在大多数人的印象中,电子邮件是夹带加载了恶意软件宏代码的DOCX或XLS附件的绝佳渠道,这也是钓鱼邮件泛滥的原因所在。随着人们对电子钓鱼邮件的警惕性越来越高,以此对打开恶意Microsoft Office附件的了解越来越多,攻击者开始转向其他的方法来部署恶意软件并逃避检测。
其中,使用PDF来传播恶意软件就是攻击者选择的方向之一。在HP Wolf Security最新发布的报告中,详细说明了PDF是如何被用作带有恶意宏的文档的传输工具,这些宏在受害者的机器上下载和安装信息窃取恶意软件。
在 PDF 中嵌入 Word
在HP Wolf Security发布的报告中,攻击者向受害人发送电子邮件,附件则是被命名为“汇款发票”的PDF文件,而电子邮件的正文则是向收件人付款的模糊话术。
当用户打开PDF文件时,Adobe Reader会提示用户打开其中包含的DOCX文件。显然,这样的操作很不寻常,让人感到迷之疑惑。因此攻击者巧妙地将嵌入的Word文档命名为“已验证”,那么弹出的“打开文件”提示声明就会变成文件是“已验证的”。
此时,出于对Adobe Reader或其他PDF阅读器的信任,很多用户就会被诱导下载并打开该恶意文件,恶意软件也就进入了受害者的电脑中。
虽然专业的网络安全研究人员或恶意软件分析师可以使用解析器和脚本检查PDF中的嵌入文件,但是对于普通用户来说,收到此类PDF文件却很难解决其中的问题,往往是在不知情的情况下中招。
因此,许多人可能会在Microsoft Word中打开DOCX文件,如果启用了宏,将从远程资源下载RTF(富文本格式)文件并打开它。
值得一提的是,攻击者通过编辑好的命令让RTF自动下载,嵌入在 Word 文件中以及硬编码的URL“vtaurl[.]com/IHytw”,这是托管有效负载的位置。
利用旧的漏洞
RTF文档名为“f_document_shp.doc”,包含格式错误的OLE对象,很可能会逃避系统的检测分析。经过一些有针对性的重建后,HP的安全研究人员发现它试图利用旧的Microsoft Equation Editor漏洞来运行任意代码。
部署的shellcode是利用了CVE-2017-11882漏洞,这是方程式编辑器中的一个远程代码执行错误,已于2017年11月修复,但是目前依旧还在被利用。此前,该漏洞披露后就引起黑客的广泛关注,其缓慢的修补过程使其成为2018 年被利用最多的漏洞之一。
通过利用 CVE-2017-11882,RTF中的shellcode下载并运行Snake Keylogger,这是一个模块化的信息窃取程序,具有强大的持久性、防御规避、凭据访问、数据收集和数据泄露功能。