Tehdit analistleri, kullanıcıları kötü amaçlı yazılımlarla enfekte eden kötü niyetli kelime belgelerini kaçırmak için PDF eklerini kullanarak yakın tarihli bir kötü amaçlı yazılım dağıtım kampanyası keşfettiler.
PDF'lerin seçimi olağandışıdır, çünkü günümüzde kötü amaçlı e-postaların çoğu, kötü amaçlı yazılım yükleme makro kodu ile bağlanmış DOCX veya XLS ekleri ile birlikte gelir.
Bununla birlikte, insanlar kötü niyetli Microsoft ofis ekleri açma konusunda daha eğitimli hale geldikçe, tehdit aktörleri kötü amaçlı makrolar dağıtmak ve algılamadan kaçmak için diğer yöntemlere geçer.
HP Wolf Security'nin yeni bir raporunda, araştırmacılar PDF'lerin kurbanın makinelerine bilgi çalan kötü amaçlı yazılımları indirip yükleyen kötü amaçlı makrolara sahip belgeler için nasıl bir nakliye olarak kullanıldığını göstermektedir.
HP Wolf Security tarafından görülen bir kampanyada, e -posta yoluyla gelen PDF'ye "havale faturası" olarak adlandırılır ve tahminimiz, e -posta gövdesinin alıcıya belirsiz ödeme vaatleri içermesidir.
PDF açıldığında, Adobe Reader kullanıcıyı içeride bulunan, zaten olağandışı ve kurbanı karıştırabilecek bir Docx dosyasını açmaya teşvik eder.
Tehdit aktörleri yerleşik belgeye "doğrulandı", "Dosya" Dosyası "doğrulandı," Doğrulandı. " Bu mesaj, alıcıları Adobe'nin dosyayı meşru olarak doğruladığına ve dosyanın açılmasının güvenli olduğuna inanmasına neden olabilir.
Kötü amaçlı yazılım analistleri yerleşik dosyaları PDF'lerde parserler ve komut dosyaları kullanarak inceleyebilirken, bu zor e -postaları alan normal kullanıcılar o kadar ileri gitmez, hatta nereden başlayacağını bilmezler.
Bu nedenle, birçoğu DOCX'i Microsoft Word'de açabilir ve makrolar etkinleştirilirse, bir RTF (zengin metin biçimi) dosyasını uzak bir kaynaktan indirir ve açar.
RTF'nin indirilmesi, yükün barındırıldığı sabit kodlu “vtaurl [.] Com/Ihytw” ile birlikte kelime dosyasına gömülü olan aşağıdaki komutun sonucudur.
RTF belgesine “f_document_shp.doc” olarak adlandırılır ve analizden kaçınması muhtemel kötü biçimlendirilmiş ole nesneleri içerir. Bazı hedeflenen rekonstrüksiyonlardan sonra, HP’nin analistleri, rasgele kod çalıştırmak için eski bir Microsoft Denklem Düzenleyicisi güvenlik açığını kötüye kullanmaya çalıştığını buldu.
Konuşlandırılan Shellcode, Kasım 2017'de sabit ancak yine de vahşi doğada sömürü için mevcut olan Denklem Düzenleyicisinde Uzak Kod Yürütme hatası olan CVE-2017-11882'den yararlanır.
Bu kusur, açıklandığında hackerların hemen dikkatini çekerken, onu takip eden yavaş yama 2018'de en çok sömürülen güvenlik açıklarından biri haline geldi.
CVE-2017-11882'den yararlanarak, RTF indirmelerindeki kabuk kodu ve güçlü kalıcılık, savunma kaçakçılığı, kimlik bilgisi erişimi, veri hasat ve veri söndürme yeteneklerine sahip modüler bir info-stealer olan Snake Keylogger'ı çalıştırıyor.
Tarihi otel konaklaması, tamamlayıcı emotet maruziyeti dahil
Flubot Android kötü amaçlı yazılım, yeni SMS kampanyalarında Finlandiya'yı hedefliyor
Alman otomobil üreticileri yıl süren kötü amaçlı yazılım kampanyasını hedef aldı
Ukrayna, “Kimyasal Saldırı” kimlik avı itme Stealer kötü amaçlı yazılımları uyarıyor
Kimlik avı saldırıları hedef ülkeleri Ukraynalı mültecilere yardım ediyor
Kaynak: Bleeping Computer