25/05/22
23 марта команда HPW Wolf Security обнаружила новую вредоносную кампанию на основе PDF-файлов с «необычной цепочкой заражения», включающую не только PDF-файл, но и «несколько приемов, позволяющих избежать обнаружения, таких как встраивание вредоносных файлов, загрузка удаленно размещенных эксплойтов и шифрование шелл-кода», — написал Шлапфер.
По мере осведомленности людей о вредоносных вложениях Microsoft Office, злоумышленники переключились на другие методы развертывания вредоносных макросов и уклонения от обнаружения.
Согласно отчету HP Wolf Security , PDF-файл использовался в качестве проводника документа с вредоносными макросами, которые загружали и устанавливали вредоносное ПО для кражи информации с компьютера жертвы.
PDF-файл назывался «Счет-фактура», а в электронном письме содержались расплывчатые обещания оплаты получателю. При открытии PDF-файла Adobe Reader предложил пользователю открыть содержащийся внутри DOCX-файл, что уже необычно и может запутать жертву. Поскольку субъект угрозы назвал вложенный документ «проверенным», в окне «Открыть файл» говорится: «Файл был проверен». Это сообщение может заставить получателя поверить в подлинность и безопасность файла.
.png?width=500&name=content-img(40).png)
Специалист может проверить встроенный файл в PDF-документе с помощью синтаксических анализаторов и сценариев, а обычный пользователь проверить не сможет и откроет DOCX в Microsoft Word и, если макросы включены, с удаленного ресурса загрузится и откроется RTF-файл (rich text format).
Загрузка RTF является результатом следующей команды, встроенной в Word-файл вместе с заданным URL-адресом «vtaurl[.]com/IHytw», где размещается полезная нагрузка.
RTF-документ называется «f_document_shp.doc» и содержит искаженные OLE-объекты, которые не поддаются анализу. По словам экспертов, кампания пытается использовать старую уязвимость Microsoft Equation Editor для запуска произвольного кода.
Развернутый шеллкод использует ошибку удаленного выполнения кода в Equation Editor CVE-2017-11882 , исправленную в ноябре 2017 года, но все еще доступную для эксплуатации. Эта уязвимость сразу же привлекла внимание хакеров , а последующее исправление сделало ее одной из наиболее часто используемых уязвимостей в 2018 году. Шеллкод в RTF с помощью CVE-2017-11882 загружает и запускает Snake Keylogger, модульный инструмент для кражи личных данных с высокой устойчивостью и уклонением от защиты.
Ранее киберпреступники использовали ошибку в редакторе формул Microsoft Equation для обхода антивирусов. Задействовав цепочку уязвимостей, злоумышленники могли внедрить любое вредоносное ПО на скомпрометированную систему.
