Японская группа реагирования на чрезвычайные ситуации в компьютерной сфере (JPCERT) сообщает о новой атаке "MalDoc in PDF", обнаруженной в июле 2023 года, которая обходит обнаружение путем встраивания вредоносных файлов Word в PDF-файлы.
Файл, обнаруженный JPCERT, представляет собой полиглот, распознаваемый большинством сканирующих систем и инструментов как PDF, однако офисные приложения могут открыть его как обычный документ Word (.doc).
Полиглоты - это файлы, содержащие два разных формата, которые могут интерпретироваться и выполняться как файлы нескольких типов в зависимости от приложения, читающего/открывающего их.
Например, вредоносные документы в данной кампании представляют собой комбинацию документов PDF и Word, которые могут быть открыты в любом из этих форматов.
Как правило, угрозы используют полиглотты, чтобы избежать обнаружения или запутать инструменты анализа, поскольку такие файлы могут выглядеть безобидно в одном формате и скрывать вредоносный код в другом.
В данном случае документ PDF содержит документ Word с VBS-макросом для загрузки и установки вредоносного файла MSI, если открыть его в Microsoft Office как файл .doc. Однако японский CERT не сообщил никаких подробностей о типе устанавливаемого вредоносного ПО.
Однако следует отметить, что MalDoc in PDF не обходит настройки безопасности, отключающие автоисполнение макросов в Microsoft Office, поэтому это все еще адекватные средства защиты, которые пользователям необходимо отключать вручную, либо нажимая на соответствующую кнопку, либо разблокируя файл.
JPCERT выпустил на YouTube следующий видеоролик, демонстрирующий, как MalDoc в файлах PDF проявляется и работает в Windows.
Хотя встраивание одного типа файлов в другой не является чем-то новым, поскольку злоумышленники, использующие полиглот файлы для обхода обнаружения, были хорошо задокументированы, конкретная техника является новой, утверждает JPCERT.
Основным преимуществом MalDoc в PDF для злоумышленников является возможность избежать обнаружения традиционными средствами анализа PDF, такими как 'pdfid', или другими автоматизированными средствами анализа, которые исследуют только внешний слой файла, представляющий собой легитимную структуру PDF.
Однако, по мнению JPCERT, другие инструменты анализа, такие как 'OLEVBA', все же могут обнаружить вредоносное содержимое, скрывающееся внутри полиглота, поэтому многоуровневая защита и богатые наборы средств обнаружения должны быть эффективны в борьбе с этой угрозой.
Агентство по кибербезопасности также поделилось правилом Yara, которое поможет исследователям и защитникам выявлять файлы, использующие технику "MalDoc in PDF".
Правило проверяет, не начинается ли файл с сигнатуры PDF и не содержит ли он шаблоны, указывающие на документ Word, рабочую книгу Excel или файл MHT, что соответствует технике обхода, обнаруженной JPCERT в природе.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!