Gli analisti delle minacce hanno scoperto una recente campagna di distribuzione di malware che utilizza allegati PDF per contrabbandare documenti Word dannosi che infettano gli utenti con malware.
La scelta dei PDF è insolita, poiché la maggior parte delle e-mail dannose oggi arriva con allegati DOCX o XLS corredati di codice macro per il caricamento di malware.
Tuttavia, man mano che le persone diventano più istruite sull’apertura di allegati dannosi di Microsoft Office, gli attori delle minacce passano ad altri metodi per distribuire macro dannose ed eludere il rilevamento.
In una nuova relazione di Sicurezza HP Wolfi ricercatori illustrano come i PDF vengono utilizzati come mezzo di trasporto per documenti con macro dannose che scaricano e installano malware per il furto di informazioni sui computer delle vittime.
Incorporamento di Word nei PDF
In una campagna vista da HP Wolf Security, il PDF che arriva via e-mail si chiama “Fattura di rimessa” e la nostra ipotesi è che il corpo dell’e-mail contenga vaghe promesse di pagamento al destinatario.
Quando il PDF viene aperto, Adobe Reader richiede all’utente di aprire un file DOCX contenuto al suo interno, cosa già insolita e potrebbe confondere la vittima.
Poiché gli attori delle minacce hanno denominato il documento incorporato “è stato verificato”, il prompt Apri file riportato di seguito afferma “Il file è stato verificato”. Questo messaggio potrebbe indurre i destinatari a credere che Adobe abbia verificato il file come legittimo e che il file sia sicuro da aprire.
Mentre gli analisti di malware possono ispezionare i file incorporati nei PDF utilizzando parser e script, gli utenti regolari che ricevono queste e-mail complicate non andrebbero così lontano e nemmeno saprebbero da dove cominciare.
Pertanto, molti possono aprire DOCX in Microsoft Word e, se le macro sono abilitate, scaricheranno un file RTF (rich text format) da una risorsa remota e lo apriranno.
Il download dell’RTF è il risultato del seguente comando, incorporato nel file Word insieme all’URL hardcoded “vtaurl[.]com/IHytw”, che è dove è ospitato il carico utile.
Sfruttare il vecchio RCE
Il documento RTF è denominato “f_document_shp.doc” e contiene oggetti OLE non corretti, che potrebbero eludere l’analisi. Dopo alcune ricostruzioni mirate, gli analisti di HP hanno scoperto che tenta di abusare di una vecchia vulnerabilità di Microsoft Equation Editor per eseguire codice arbitrario.
Lo shellcode distribuito sfrutta CVE-2017-11882, un bug di esecuzione di codice remoto nell’editor di equazioni corretto a novembre 2017 ma ancora disponibile per lo sfruttamento in natura.
Quel difetto ha immediatamente attirato l’attenzione degli hacker quando è stato divulgato, mentre il lento patching che ne è seguito l’ha portato a diventare una delle vulnerabilità più sfruttate nel 2018.
Sfruttando CVE-2017-11882, lo shellcode nell’RTF scarica ed esegue Snake Keylogger, un ladro di informazioni modulare con potenti capacità di persistenza, evasione della difesa, accesso alle credenziali, raccolta dei dati ed esfiltrazione dei dati.
