Akta dig, denna skadliga programvara gömmer sig i en skadad Word-fil, själv gömd i en PDF

Hacka skadlig programvara © Shutterstock.com

Forskare vid HP Wolf Security har upptäckt att det finns en ny distributionskampanj för skadlig programvara. skadlig programvara som använder en skadlig DOCX-fil som finns i en PDF-fil för att infektera sina offer.

Angriparna försöker sedan använda en sårbarhet som har åtgärdats i över fyra år för att distribuera Snake Keylogger.

En väl dold skadlig fil

E-postbaserade distributionskampanjer för skadlig programvara är vanliga. Men den som nyligen upptäcktes av forskare vid HP Wolf Security har en liten egenhet. Under flera år har många infektionsförsök gjorts med hjälp av DOCX- eller XLS-filer som bifogats till e-post. Ett sätt att göra så vanligt att, enligt företagets forskare, använde 45 % av den skadliga programvara som stoppades av HP Wolf Security under första kvartalet 2022 dessa filformat för att spridas. Men i fallet med den här kampanjen försökte angriparna en ny metod: en PDF som innehåller en DOCX-fil.

Offren får ett e-postmeddelande med en bifogad PDF-fil som låtsas vara en faktura för en remittering. När den här filen har öppnats frågar Adobe användare om de vill öppna DOCX-filen som finns i den. För att lura de som attackerades, kallade angriparna denna DOCX-fil ” har verifierats. Men PDF, Jpeg, xlsx, .docx “. På så sätt verkar filnamnet vara en del av bekräftelsemeddelandet som visas av Adobe. Den första meningen i meddelandet blir ” Den här filen har verifierats (denna fil har verifierats), vilket tyder på att programvaran har kontrollerat överensstämmelsen med DOCX-filen och ger intryck av legitimitet.

HP PDF © HP

En gammal sårbarhet utnyttjas

Om offren bestämmer sig för att öppna DOCX-filen och makron är aktiverade i deras version av Microsoft Word, laddas en RTF-fil ner från en fjärrresurs. Efter att ha rekonstruerat och analyserat den här filen fastställde HP-forskare att för att infektera sina offer försökte hackare utnyttja en gammal sårbarhet för fjärrkörning av kod, närmare bestämt CVE-2017-11882. Denna brist fanns i Microsofts ekvationsredigerare och har åtgärdats under en tid. Det är dock ingen hemlighet att vissa system uppdateras lite eller sällan, vilket tillåter utnyttjande av gamla sårbarheter.

Om användningen av denna brist är möjlig, tar koden som finns i RTF-filen hand om att ladda ner och infektera offrets dator med Snake Keylogger skadlig kod. Den senare upptäcktes i slutet av 2020 och handlar främst om att stjäla känslig information från den infekterade datorn: identifierare sparade på PC:n, tangenttryckningar, skärmdumpar av offrets skärm och data i presstidningen.

Om samma ämne:
Se upp för skadlig programvara gömd i PDF-filer tillgängliga via Google

Källor: Bleeping Computer, HP

Relaterade Artiklar

Back to top button