More

    MalDoc u PDF-u: JPCERT otkrio novi maliciozni napad

    JPCERT je upozorio na novu tehniku ​​napada koja zaobilazi detekciju ugrađivanjem malicioznih Word datoteka u PDF-ove. Nazvana ‘MalDoc in PDF’, ova taktika koristi poliglote da zbuni alate za analizu i izbjegne otkrivanje. Poligloti sadrže dva formata datoteka, međutim, tumače se i izvršavaju kao više od jedne vrste datoteke, ovisno o aplikaciji koja ih čita/otvara.

    Detaljnije

    • U ovoj konkretnoj kampanji, maliciozni dokumenti su koristili kombinaciju PDF i Word dokumenata koji se mogu otvoriti u oba formata. 
    • PDF je sadržavao Word dokument sa ugrađenim VBS makroom koji je preuzeo i instalirao malware ako se otvori kao .doc datoteka. 
    • Međutim, agencija nije otkrila vrstu instaliranog malware-a.

    Prednosti i ograničenja 

    • Tehnika ugrađivanja jedne vrste datoteke u drugu nije nova, međutim, korištenje poliglotskih datoteka za izbjegavanje otkrivanja je novi pristup, prema JPCERT-u.
    • Prednost za hakere je u tome što tradicionalni alati za analizu PDF-a ispituju samo vanjski sloj, dozvoljavajući malicioznom sadržaju da ostane neotkriven. 
    • Ipak, drugi alati za analizu kao što je ‘OLEVBA’ i dalje mogu otkriti skriveni sadržaj, tako da je višestruki sloj odbrane efikasan protiv ove prijetnje.

    Uz to, znajte da MalDoc u PDF napadu ne zaobilazi sigurnosne postavke koje onemogućuju automatsko izvršavanje makroa u Microsoft Officeu.

    Zaključak

    Agencija je podijelila YARA pravilo kako bi pomogla braniocima i istraživačima da identifikuju fajlove koji se koriste u najnovijoj tehnici napada. Štaviše, budući da su datoteke prepoznate kao PDF-ovi, organizacije bi trebale biti oprezne u pogledu rezultata detekcije dobivenih iz automatske analize malware-a.

    Izvor:  Cyware Alerts – Hacker News

    Recent Articles

    spot_img

    Related Stories