商业网站建设案例教程,网络营销的含义和特点,网站ip做网站,wordpress searchform.php据Bleeping Computer消息#xff0c;安全研究人员发现了一种新型的恶意软件传播活动#xff0c;攻击者通过使用PDF附件夹带恶意的Word文档#xff0c;从而使用户感染恶意软件。 类似的恶意软件传播方式在以往可不多见。在大多数人的印象中#xff0c;电子邮件是夹带加载了恶…据Bleeping Computer消息安全研究人员发现了一种新型的恶意软件传播活动攻击者通过使用PDF附件夹带恶意的Word文档从而使用户感染恶意软件。 类似的恶意软件传播方式在以往可不多见。在大多数人的印象中电子邮件是夹带加载了恶意软件宏代码的DOCX或XLS附件的绝佳渠道这也是钓鱼邮件泛滥的原因所在。随着人们对电子钓鱼邮件的警惕性越来越高以此对打开恶意Microsoft Office附件的了解越来越多攻击者开始转向其他的方法来部署恶意软件并逃避检测。
其中使用PDF来传播恶意软件就是攻击者选择的方向之一。在HP Wolf Security最新发布的报告中详细说明了PDF是如何被用作带有恶意宏的文档的传输工具这些宏在受害者的机器上下载和安装信息窃取恶意软件。
在 PDF 中嵌入 Word
在HP Wolf Security发布的报告中攻击者向受害人发送电子邮件附件则是被命名为“汇款发票”的PDF文件而电子邮件的正文则是向收件人付款的模糊话术。
当用户打开PDF文件时Adobe Reader会提示用户打开其中包含的DOCX文件。显然这样的操作很不寻常让人感到迷之疑惑。因此攻击者巧妙地将嵌入的Word文档命名为“已验证”那么弹出的“打开文件”提示声明就会变成文件是“已验证的”。
此时出于对Adobe Reader或其他PDF阅读器的信任很多用户就会被诱导下载并打开该恶意文件恶意软件也就进入了受害者的电脑中。 请求操作批准的对话框 (HP)
虽然专业的网络安全研究人员或恶意软件分析师可以使用解析器和脚本检查PDF中的嵌入文件但是对于普通用户来说收到此类PDF文件却很难解决其中的问题往往是在不知情的情况下中招。
因此许多人可能会在Microsoft Word中打开DOCX文件如果启用了宏将从远程资源下载RTF富文本格式文件并打开它。 获取 RTF 文件 (HP)的 GET 请求
值得一提的是攻击者通过编辑好的命令让RTF自动下载嵌入在 Word 文件中以及硬编码的URL“vtaurl[.]com/IHytw”这是托管有效负载的位置。
利用旧的漏洞
RTF文档名为“f_document_shp.doc”包含格式错误的OLE对象很可能会逃避系统的检测分析。经过一些有针对性的重建后HP的安全研究人员发现它试图利用旧的Microsoft Equation Editor漏洞来运行任意代码。 呈现有效载荷的解密 shellcode (HP)
部署的shellcode是利用了CVE-2017-11882漏洞这是方程式编辑器中的一个远程代码执行错误已于2017年11月修复但是目前依旧还在被利用。此前该漏洞披露后就引起黑客的广泛关注其缓慢的修补过程使其成为2018 年被利用最多的漏洞之一。
通过利用 CVE-2017-11882RTF中的shellcode下载并运行Snake Keylogger这是一个模块化的信息窃取程序具有强大的持久性、防御规避、凭据访问、数据收集和数据泄露功能。
参考来源
https://www.bleepingcomputer.com/news/security/pdf-smuggles-microsoft-word-doc-to-drop-snake-keylogger-malware/
声明本文相关资讯来自FreeBuf.COM版权归作者所有转载目的在于传递更多信息。如有侵权请联系本站删除。
