Analistas de ameaças cibernéticas descobriram uma campanha recente de distribuição de malware usando anexos em PDF para contrabandear documentos maliciosos do Word que infectam usuários com malware.
A escolha de PDFs é incomum, já que a maioria dos e-mails maliciosos hoje chegam com anexos “.docx” ou “.xls” com código de macro de carregamento de malware. No entanto, à medida que as pessoas se tornam mais instruídas sobre como abrir anexos maliciosos do Microsoft Office, os operadores de ameaças mudam para outros métodos para implantar macros maliciosas e evitar a detecção.
Em um novo relatório da HP Wolf Security, os pesquisadores ilustram como os PDFs estão sendo usados como transporte para documentos com macros maliciosas que baixam e instalam malware que rouba informações nas máquinas das vítimas.
Em uma campanha vista pela HP Wolf Security, o PDF que chega via e-mail é chamado de “fatura de remessa”, e o palpite dos pesquisadores é que o corpo do e-mail contém promessas vagas de pagamento ao destinatário. Quando ele é aberto, o Adobe Reader solicita ao usuário que abra um arquivo “.docx” contido nele, o que já é incomum e pode confundir a vítima.
Como os agentes de ameaças nomearam o documento incorporado como “foi verificado”, o prompt “abrir arquivo abaixo” informa: “O arquivo foi verificado”. Essa mensagem pode induzir os destinatários a acreditar que o Adobe verificou o arquivo como legítimo e que é seguro abrir o arquivo.
Veja isso
Golpe cria PDF com dois conteúdos, mesmo após assinatura
Arquivos do Excel usados de novo em campanha do Emotet
Embora os analistas de malware possam inspecionar arquivos incorporados em PDFs usando analisadores e scripts, os usuários comuns que recebem esses e-mails complicados não iriam tão longe nem saberiam por onde começar. Como tal, muitos podem abrir o “.docx” no Word e, se as macros estiverem habilitadas, baixarão um arquivo RTF (rich text format) de um recurso remoto e o abrirão. O documento RTF é denominado “f_document_shp.doc” e contém objetos OLE malformados, que provavelmente evitarão a análise. Após alguma reconstrução direcionada, os analistas da HP descobriram que ela tenta explorar uma antiga vulnerabilidade do Microsoft Equation Editor para executar código arbitrário.
O shellcode implantado explora o CVE-2017-11882, um bug de execução remota de código no Equation Editor corrigido em novembro de 2017, mas ainda disponível para exploração. Essa falha imediatamente chamou a atenção dos hackers quando foi divulgada, enquanto os patches lentos que se seguiram fizeram com que ela se tornasse uma das vulnerabilidades mais exploradas em 2018.
Ao explorar o CVE-2017-11882, o shellcode no RTF baixa e executa o Snake Keylogger, um ladrão de informações modular com recursos poderosos de persistência, evasão de defesa, acesso a credenciais, coleta de dados e exfiltração de dados. Com agências de notícias internacionais.