Abbiamo il supporto dei nostri lettori poiché riceviamo una commissione di affiliazione quando fai clic e acquisti tramite i collegamenti sul nostro sito.Ulteriori informazioni.

PDF contrabbanda documenti di Microsoft Word per rilasciare il malware Snake Keylogger

Gli analisti delle minacce hanno scoperto una recente campagna di distribuzione di malware che utilizza allegati PDF per contrabbandare documenti Word dannosi che infettano gli utenti con malware.

La scelta dei PDF è insolita, poiché la maggior parte delle e-mail dannose oggi arriva con allegati DOCX o XLS corredati di codice macro per il caricamento di malware.

Tuttavia, man mano che le persone diventano più istruite sull’apertura di allegati dannosi di Microsoft Office, gli attori delle minacce passano ad altri metodi per distribuire macro dannose ed eludere il rilevamento.

In una nuova relazione di Sicurezza HP Wolfi ricercatori illustrano come i PDF vengono utilizzati come mezzo di trasporto per documenti con macro dannose che scaricano e installano malware per il furto di informazioni sui computer delle vittime.

Incorporamento di Word nei PDF

In una campagna vista da HP Wolf Security, il PDF che arriva via e-mail si chiama “Fattura di rimessa” e la nostra ipotesi è che il corpo dell’e-mail contenga vaghe promesse di pagamento al destinatario.

Quando il PDF viene aperto, Adobe Reader richiede all’utente di aprire un file DOCX contenuto al suo interno, cosa già insolita e potrebbe confondere la vittima.

Poiché gli attori delle minacce hanno denominato il documento incorporato “è stato verificato”, il prompt Apri file riportato di seguito afferma “Il file è stato verificato”. Questo messaggio potrebbe indurre i destinatari a credere che Adobe abbia verificato il file come legittimo e che il file sia sicuro da aprire.

Finestra di dialogo che richiede l'approvazione dell'azione
Finestra di dialogo che richiede l’approvazione dell’azione (HP)

Mentre gli analisti di malware possono ispezionare i file incorporati nei PDF utilizzando parser e script, gli utenti regolari che ricevono queste e-mail complicate non andrebbero così lontano e nemmeno saprebbero da dove cominciare.

Pertanto, molti possono aprire DOCX in Microsoft Word e, se le macro sono abilitate, scaricheranno un file RTF (rich text format) da una risorsa remota e lo apriranno.

GET richiesta per recuperare il file RTF
GET richiesta per recuperare il file RTF (HP)

Il download dell’RTF è il risultato del seguente comando, incorporato nel file Word insieme all’URL hardcoded “vtaurl[.]com/IHytw”, che è dove è ospitato il carico utile.

URL che ospita il file RTF
URL che ospita il file RTF (HP)

Sfruttare il vecchio RCE

Il documento RTF è denominato “f_document_shp.doc” e contiene oggetti OLE non corretti, che potrebbero eludere l’analisi. Dopo alcune ricostruzioni mirate, gli analisti di HP hanno scoperto che tenta di abusare di una vecchia vulnerabilità di Microsoft Equation Editor per eseguire codice arbitrario.

Shellcode decifrato che presenta il carico utile
Shellcode decifrato che presenta il carico utile (HP)

Lo shellcode distribuito sfrutta CVE-2017-11882, un bug di esecuzione di codice remoto nell’editor di equazioni corretto a novembre 2017 ma ancora disponibile per lo sfruttamento in natura.

Quel difetto ha immediatamente attirato l’attenzione degli hacker quando è stato divulgato, mentre il lento patching che ne è seguito l’ha portato a diventare una delle vulnerabilità più sfruttate nel 2018.

Sfruttando CVE-2017-11882, lo shellcode nell’RTF scarica ed esegue Snake Keylogger, un ladro di informazioni modulare con potenti capacità di persistenza, evasione della difesa, accesso alle credenziali, raccolta dei dati ed esfiltrazione dei dati.