研究人员发现,虽然大多数恶意电子邮件活动使用Word文档来隐藏和传播恶意软件,但在最近发现的活动中,攻击者使用恶意PDF文件和多年的Office漏洞来传播SnakeKeylogger恶意软件。根据周五发布的博客文章,HPWolf安全公司的研究人员发现了该活动,该活动使用PDF附件诱骗受害者谎称其中包含有关汇款的信息。然而,它实际上加载了信息窃取恶意软件,并使用一些规避策略来避免被防病毒软件检测到。惠普的狼安全团队研究人员在帖子中写道,虽然Office格式今天仍然很流行,但这次活动表明攻击者也在使用武器化的PDF文件来感染系统。事实上,在过去十年中,使用恶意电子邮件的攻击者更愿意将他们的恶意软件打包成MicrosoftOffice文件格式,特别是Word和Excel,Schlapfer说。据研究人员称,仅在2022年第一季度,惠普wolf安全公司拦截的恶意软件中就有近一半(45%)是Office格式的。他写道,出于显而易见的原因,这些文件类型对用户来说非常熟悉,有很多应用程序可以直接打开它们,它们也非常适合作为社会工程学攻击的诱饵。然而,研究人员还发现,虽然新的活动确实在文档诱饵中使用了PDF文件,但它后来采用了MicrosoftWord来触发最终的有效载荷SnakeKeylogger。据Fortinet称,SnakeKeylogger是一种使用.NET开发的恶意软件,于2020年底首次出现,可以从受害者的设备中窃取敏感信息,包括保存的凭据、受害者的击键、受害者的屏幕截图和剪贴板中的数据。不寻常的活动HPWWolf安全团队在3月23日注意到一个新的基于PDF的威胁活动,它有一个非常不寻常的感染链,它不仅使用单个PDF文件,而且使用多个文件来逃避检测技巧,例如嵌入恶意文件、加载远程托管的漏洞利用,和shellcode加密。攻击者向受害者发送电子邮件,其中包含一个名为“REMMITANCEINVOICE.pdf”的PDF文件作为附件。研究人员发现,如果有人打开该文件,AdobeReader会提示用户打开一个名称非常奇怪的.docx文件。该帖子称,攻击者会暗中命名Word文件“已通过验证。但是PDF、Jpeg、xlsx、.docx”,这将使文件名看起来像是Adob??eReader提示的一部分。研究人员发现,.docx文件作为嵌入式文档对象存储在PDF中,如果用户单击它,它会打开MicrosoftWord。如果禁用受保护的视图,Word将从Web服务器下载多信息文本格式(.rtf)文件。这是一个OfficeOpenXML文件,然后在打开的文件中运行。通过解压.rtf的内容,研究人员发现了一个隐藏在“document.xml.rels”文件中的URL,他们说这不是Office文档中的合法域名。当用户连接到此URL并重定向页面以下载名为“f_document_shp.doc”的RTF文档时,一个旧漏洞被利用。该文件包含两个格式错误的OLE对象,其中包含利用CVE-2017-11882的shellcode,研究人员称这是方程式编辑器中很久以前的远程代码执行漏洞(RCE)。公式编辑器是安装在Office套件中的默认应用程序,用于在MicrosoftWord文档中插入和编辑对象链接和嵌入(OLE)项目的复杂公式。然而事实证明,此次攻击活动中攻击者所利用的漏洞其实早在4年多前就被微软修补了——准确地说是2017年,但实际上在此之前已经存在了17年左右。从现在到现在已经22年了。作为攻击中最重要的部分,研究人员发现shellcode存储在他们检查的其中一个OLENativeStream结构中。研究人员发现,该代码最终会解密最初包含真实shellcode的密文,该shellcode在执行时会启动一个名为fresh.exe的可执行文件,该文件会加载SnakeKeylogger。本文翻译自:https://threatpost.com/snake-keylogger-pdfs/179703/如有转载请注明出处。
