Новая полиглотная атака, позволяющая злоумышленникам обойти антивирус

Исследователи кибербезопасности обратили внимание на новый метод обхода антивируса, который включает в себя встраивание вредоносного файла Microsoft Word в файл PDF.

Хитрый метод, получивший название МальДок в PDF JPCERT/CC, как сообщается, участвовал в нападении в дикой природе в июле 2023 года.

«Файл, созданный с помощью MalDoc в формате PDF, можно открыть в Word, даже если он имеет магические числа и файловую структуру PDF», — исследователи Юма Масубучи и Кота Кино. сказал. «Если в файле есть настроенный макрос, при открытии его в Word запускается VBS и выполняет вредоносные действия».

Такие специально созданные файлы называются полиглоты поскольку они являются законной формой файлов нескольких разных типов, в данном случае PDF и Word (DOC).

Это влечет за собой добавление файла MHT, созданного в Word, с макросом, прикрепленным после объекта файла PDF. Конечным результатом является действительный PDF-файл, который также можно открыть в приложении Word.

Другими словами; PDF-документ включает в себя документ Word с макросом VBS, предназначенным для загрузки и установки файла вредоносного ПО MSI, если он открыт как файл .DOC в Microsoft Office. Пока неясно, какое именно вредоносное ПО распространялось таким образом.

«Когда документ загружается из Интернета или по электронной почте, он будет содержать МТВ», исследователь безопасности Уилл Дорманн сказал. «Таким образом, пользователю придется нажать «Включить редактирование», чтобы выйти из защищенного просмотра. В этот момент он узнает [sic] что макросы отключены.”

Хотя реальные атаки с использованием MalDoc в PDF были замечены чуть больше месяца назад, есть основания полагать, что с этим проводились эксперименты («DummymhtmldocmacroDoc.doc“) уже в мае, подчеркнул Дорманн.

Эта разработка происходит на фоне резкого увеличения числа фишинговых кампаний с использованием QR-кодов для распространения вредоносных URL-адресов — метода, называемого qishing.

«Образцы, которые мы наблюдали с использованием этой техники, в основном замаскированы под уведомления многофакторной аутентификации (MFA), которые заставляют своих жертв сканировать QR-код с помощью своих мобильных телефонов, чтобы получить доступ», — Trustwave сказал на прошлой неделе.

«Однако вместо того, чтобы перейти к желаемому местоположению цели, QR-код ведет ее на фишинговую страницу злоумышленника».

По данным Cofense, одна такая кампания, нацеленная на учетные данные пользователей Microsoft, продемонстрировала рост более чем на 2400% с мая 2023 года. отмеченный в августе, указав, что «сканирование QR-кода на мобильном устройстве выводит пользователя из-под защиты корпоративной среды».

Атаки социальной инженерии, о чем свидетельствуют атаки, связанные с СЛИП$ и Запутавшиеся Весыстановятся все более изощренными и изощренными, поскольку злоумышленники используют тактику вишинга и фишинга для получения несанкционированного доступа к целевым системам.

В одном случае, отмеченном Sophos, угроза объединила телефонные и электронные письма, чтобы запустить сложную цепочку атак против сотрудника швейцарской организации.

«Позвонивший, чей голос был похож на мужчину средних лет, сказал сотруднику, что он водитель службы доставки со срочной посылкой, предназначенной для одного из офисов компании, но там не было никого, кто мог бы получить посылку, и попросил новый адрес доставки в офисе сотрудника», — исследователь Sophos Эндрю Брандт. сказал.

«Чтобы повторно доставить посылку, — продолжил он, — сотруднику придется прочитать вслух код, который транспортная компания отправит по электронной почте».

Электронное письмо от предполагаемой транспортной компании убедило жертву открыть что-то похожее на вложение в формате PDF, содержащее код, но на самом деле это оказалось статическим изображением, встроенным в тело сообщения, которое было «точно похоже на сообщение Outlook с вложения электронной почты.”

Спам-атака с поддельными изображениями в конечном итоге привела получателя на поддельный веб-сайт через цепочку перенаправлений, которая, в свою очередь, сбросила обманчивый исполняемый файл, маскирующийся под службу пакетов («Universe Parcel Service»), который при запуске действовал как канал для доставки дополнительных сценариев PowerShell для кражи данных и передачи данных в удаленный скрытый сервис TOR.

Эти события также происходят по мере того, как вокруг поднимаются вопросы безопасности. конфликты имен в системе доменных имен (DNS), которая может быть эксплуатируемый для утечки конфиденциальных данных.

«Конфликты имен — не единственные ситуации, которые могут вызвать [top-level domain] вести себя странно», Циско Талос сказал в недавней статье. «Некоторые не реагируют должным образом, когда им предъявляют имена, срок действия которых истек или никогда не существовал».

«В этих TLD незарегистрированные доменные имена с истекшим сроком действия по-прежнему преобразуются в IP-адреса. Некоторые из этих TLD даже публикуют записи MX и собирают электронные письма для рассматриваемых имен».