安全播报

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
PDF正在传播恶意软件,需要注意
2022-05-23 15:41:29 【

据Bleeping Computer消息,安全研究人员发现了一种新型的恶意软件传播活动,攻击者通过使用PDF附件夹带恶意的Word文档,从而使用户感染恶意软件。

类似的恶意软件传播方式在以往可不多见。在大多数人的印象中,电子邮件是夹带加载了恶意软件宏代码的DOCX或XLS附件的绝佳渠道,这也是钓鱼邮件泛滥的原因所在。随着人们对电子钓鱼邮件的警惕性越来越高,以此对打开恶意Microsoft Office附件的了解越来越多,攻击者开始转向其他的方法来部署恶意软件并逃避检测。

其中,使用PDF来传播恶意软件就是攻击者选择的方向之一。在HP Wolf Security最新发布的报告中,详细说明了PDF是如何被用作带有恶意宏的文档的传输工具,这些宏在受害者的机器上下载和安装信息窃取恶意软件。

在 PDF 中嵌入 Word

在HP Wolf Security发布的报告中,攻击者向受害人发送电子邮件,附件则是被命名为“汇款发票”的PDF文件,而电子邮件的正文则是向收件人付款的模糊话术。

当用户打开PDF文件时,Adobe Reader会提示用户打开其中包含的DOCX文件。显然,这样的操作很不寻常,让人感到迷之疑惑。因此攻击者巧妙地将嵌入的Word文档命名为“已验证”,那么弹出的“打开文件”提示声明就会变成文件是“已验证的”。

此时,出于对Adobe Reader或其他PDF阅读器的信任,很多用户就会被诱导下载并打开该恶意文件,恶意软件也就进入了受害者的电脑中。

虽然专业的网络安全研究人员或恶意软件分析师可以使用解析器和脚本检查PDF中的嵌入文件,但是对于普通用户来说,收到此类PDF文件却很难解决其中的问题,往往是在不知情的情况下中招。

因此,许多人可能会在Microsoft Word中打开DOCX文件,如果启用了宏,将从远程资源下载RTF(富文本格式)文件并打开它。


值得一提的是,攻击者通过编辑好的命令让RTF自动下载,嵌入在 Word 文件中以及硬编码的URL“vtaurl[.]com/IHytw”,这是托管有效负载的位置。

利用旧的漏洞

RTF文档名为“f_document_shp.doc”,包含格式错误的OLE对象,很可能会逃避系统的检测分析。经过一些有针对性的重建后,HP的安全研究人员发现它试图利用旧的Microsoft Equation Editor漏洞来运行任意代码。

部署的shellcode是利用了CVE-2017-11882漏洞,这是方程式编辑器中的一个远程代码执行错误,已于2017年11月修复,但是目前依旧还在被利用。此前,该漏洞披露后就引起黑客的广泛关注,其缓慢的修补过程使其成为2018 年被利用最多的漏洞之一。

通过利用 CVE-2017-11882,RTF中的shellcode下载并运行Snake Keylogger,这是一个模块化的信息窃取程序,具有强大的持久性、防御规避、凭据访问、数据收集和数据泄露功能。


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇没有了 下一篇微软警告说,Linux 恶意软件正在..

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:010-56157787 ,010-56159998
企业QQ:4000043998
技术支持:010-56159998
E-Mail:800@fangyuba.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:4000043998 01056155355
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800