JPCERT je upozorio na novu tehniku napada koja zaobilazi detekciju ugrađivanjem malicioznih Word datoteka u PDF-ove. Nazvana ‘MalDoc in PDF’, ova taktika koristi poliglote da zbuni alate za analizu i izbjegne otkrivanje. Poligloti sadrže dva formata datoteka, međutim, tumače se i izvršavaju kao više od jedne vrste datoteke, ovisno o aplikaciji koja ih čita/otvara.
Detaljnije
- U ovoj konkretnoj kampanji, maliciozni dokumenti su koristili kombinaciju PDF i Word dokumenata koji se mogu otvoriti u oba formata.
- PDF je sadržavao Word dokument sa ugrađenim VBS makroom koji je preuzeo i instalirao malware ako se otvori kao .doc datoteka.
- Međutim, agencija nije otkrila vrstu instaliranog malware-a.
Prednosti i ograničenja
- Tehnika ugrađivanja jedne vrste datoteke u drugu nije nova, međutim, korištenje poliglotskih datoteka za izbjegavanje otkrivanja je novi pristup, prema JPCERT-u.
- Prednost za hakere je u tome što tradicionalni alati za analizu PDF-a ispituju samo vanjski sloj, dozvoljavajući malicioznom sadržaju da ostane neotkriven.
- Ipak, drugi alati za analizu kao što je ‘OLEVBA’ i dalje mogu otkriti skriveni sadržaj, tako da je višestruki sloj odbrane efikasan protiv ove prijetnje.
Uz to, znajte da MalDoc u PDF napadu ne zaobilazi sigurnosne postavke koje onemogućuju automatsko izvršavanje makroa u Microsoft Officeu.
Zaključak
Agencija je podijelila YARA pravilo kako bi pomogla braniocima i istraživačima da identifikuju fajlove koji se koriste u najnovijoj tehnici napada. Štaviše, budući da su datoteke prepoznate kao PDF-ovi, organizacije bi trebale biti oprezne u pogledu rezultata detekcije dobivenih iz automatske analize malware-a.
Izvor: Cyware Alerts – Hacker News