据BleepingComputer报道,安全研究人员发现了一种新型恶意软件传播活动,攻击者使用PDF附件嵌入恶意Word文档,从而使用户感染恶意软件。类似的恶意软件分发方式在过去并不多见。大多数人认为电子邮件是加载恶意宏代码的DOCX或XLS附件的绝佳渠道,这就是网络钓鱼电子邮件如此普遍的原因。随着人们对网络钓鱼电子邮件变得更加警惕并了解更多有关打开恶意MicrosoftOffice附件的信息,攻击者正在转向其他方法来部署恶意软件并逃避检测。其中,利用PDF传播恶意软件是攻击者选择的方向之一。在HPWolfSecurity最新发布的一份报告中,它详细说明了PDF如何被用作带有恶意宏的文档的传输工具,这些恶意宏会在受害者的机器上下载和安装信息窃取恶意软件。在PDF中嵌入Word在HPWolfSecurity发布的报告中,攻击者向受害者发送了一封电子邮件,附件是一个名为“汇款发票”的PDF文件,邮件正文是paymenttotherecipient的Vague字样。当用户打开PDF文件时,AdobeReader会提示用户打开包含的DOCX文件。很显然,这样的操作很不寻常,让人觉得摸不着头脑。因此,攻击者巧妙地将嵌入的Word文档命名为“已验证”,那么弹出的“打开文件”提示语句就会变成文件已“已验证”。这时,出于对AdobeReader或其他PDF阅读器的信任,许多用户会被诱导下载并打开恶意文件,恶意软件就会进入受害者的电脑。请求操作批准(HP)的对话框虽然专业的网络安全研究人员或恶意软件分析师可以使用解析器和脚本来检查PDF中的嵌入文件,但对于普通用户来说,接收此类PDF很难解决问题,常常在不知情的情况下被骗。因此,很多人可能会在MicrosoftWord中打开一个DOCX文件,如果启用了宏,它会从远程资源下载一个RTF(富文本格式)文件并打开它。获取RTF文件的GET请求(HP)托管有效负载的位置。利用旧漏洞,名为“f_document_shp.doc”的RTF文档包含格式错误的OLE对象,很可能逃避系统的检测和分析。在一些有针对性的重建之后,惠普的安全研究人员发现它试图利用旧的Microsoft公式编辑器漏洞来运行任意代码。解密的shellcode呈现有效负载(HP)部署的shellcode利用CVE-2017-11882,这是方程式编辑器中的一个远程代码执行错误,已于2017年11月修复,但仍被利用。此前,该漏洞在披露后受到了黑客的广泛关注,其缓慢的修复过程使其成为2018年被利用最多的漏洞之一。RTF中的shellcode利用CVE-2017-11882下载并运行模块化的SnakeKeylogger具有强持久性、防御规避、凭据访问、数据收集和数据渗漏的信息窃取者。参考来源:https://www.bleepingcomputer.com/news/security/pdf-smuggles-microsoft-word-doc-to-drop-snake-keylogger-malware/
