محققان امنیتی موفق به کشف یک کمپین جدید بدافزاری شدند که از پیوستهای PDF برای پنهان کردن اسناد مخرب ورد و انتقال آنها به سیستم کاربران استفاده میکند.
مخفی شدن فایلهای ورد در اسناد PDF
در کمپین مشاهده شده توسط شرکت HP Wolf Security، فایل PDF از طریق یک ایمیل با عنوان رسید پرداختی یا “Remittance Invoice” ارسال میشود و حدس محققان این است که متن ایمیل حاوی وعدههای نامفهومی در خصوص پرداخت به گیرنده میباشد.
هنگامی که PDF باز میشود، نرم افزار Adobe Reader از کاربر درخواست میکند که فایل ورد موجود در بدنه را باز کند که درخواستی غیر معمول بوده و میتواند قربانی را گمراه کند.
به خاطر اینکه نام این فایل جاسازی شده را “has been verified” یا «تایید شده» گذاشتهاند، پیغام باز کردن متن و یا Open File با این محتوا نمایش داده میشود که “The file has been verified” یا «فایل تایید شده است». این پیام میتواند دریافت کننده ایمیل را فریب داده تا باور کند نرمافزار Adobe Reader سالم بودن فایل را تایید کرده است.
به این ترتیب، بسیاری ممکن است اسناد DOCX را درون برنامه ورد باز کنند که اگر ماکروها فعال باشند، یک فایل RTF را از یک منبع راه دور دانلود کرده و آن را باز میکند.
بهرهبرداری از یک اکسپلویت قدیمی
سند RTF با نام “f_document_shp.doc” شامل آبجکتهای بدافزاری و مخرب OLE است که به نظر میرسد از دیدرس نرمافزارهای شناساگر فرار میکند. تحلیلگران HP پس از بررسیهای انجام شده به این نتیجه رسیدند که این فایل به دنبال سوءاستفاده از آسیبپذیری قدیمی Microsoft Equation Editor است تا کدهای مورد نظر خود را اجرا نماید.
shellcode به کار رفته از آسیبپذیری CVE-2017-11882، که یک نقص اجرای کد از راه دور در Equation Editor بوده و در نوامبر ۲۰۱۷ توسط مایکروسافت رفع شده است، سوءاستفاده میکند.
این نقص بلافاصله پس از فاش شدن، توجه هکرها را به خود جلب کرد و اقدام کُند کاربران برای دریافت وصله، آن را به یکی از پرکاربردترین آسیبپذیریهای سال ۲۰۱۸ تبدیل کرد.
با بهرهبرداری از این آسیبپذیری، Shellcode موجود در RTF، بدافزار Snake Keylogger را دانلود و اجرا میکند. این برنامه که یک سارق اطلاعات ماژولار با تداوم بالا بر روی سیستم است، میتواند از سیستمهای شناساگر بگریزد، به اطلاعات حسابهای کاربری دستیابی پیدا کند و در نهایت دادهها را استخراج و جمعآوری نماید.
