اخیراً کارشناسان امنیتی HP Wolf Security، راه جدیدی را برای انتشار یک بدافزار با استفاده از پیوستهای PDF از طریق اینترنت کشف کردهاند. در این حالت داکیومنتهای ورد از طریق پیوستهای PDF منتقل میشوند.
دریافت پیوستهای مخرب ایمیل در فرمت PDF، بسیار نادر است زیرا اغلب ایمیلهای مخرب به صورت فایلهای docx یا xls همراه با ماکروهای بارگزاری بدافزار ارسال میشوند. با آگاهی مردم از خطر باز کردن پیوستهای مایکروسافت آفیس حاوی ماکروهای مخرب، مهاجمان به روشهای دیگری برای استقرار ماکروهای مخرب و فرار از شناسایی روی میآورند. (قرار دادن داکیومنتهای مخرب ورد در فایلهای PDF)
به نظر میرسد که محتوای داکیومنت PDF که از طریق ایمیل دریافت شده است حاوی وعدههای جعلی است. درحالیکه این PDF، "Remittance Invoice" نام دارد و براساس عنوان و محتوای آن، به نظر میرسد دریافت کننده ایمیل مبلغی را دریافت خواهد کرد. فایل DOCX حاوی همان محتوای PDF است بنابراین Adobe Reader از کاربر میپرسد که فایل DOCX را باز کند یا خیر که این موضوع ممکن است برای قربانی گیج کننده باشد، چراکه درخواست تایید باز کردن فایل یا Open File از جانب Adobe Reader یک حس اطمینان را برای باز کردن فایل در کاربر ایجاد میکند. برخلاف کاربران عادی، تحلیلگران بدافزار از ابزارهایی مانند تجزیه کنندهها و اسکریپتها برای بررسی فایلهای قرار داده شده در PDFها استفاده میکنند.
یک فایل DOCX معمولا در اغلب موارد به جای برنامههای مختلف در قالب مایکروسافت ورد باز میشود. بنابراین اگر ماکروها فعال باشند، فایلهای DOCX در Microsoft Word از یک منبع راه دور به فرمت RTF دانلود میشوند. در فایل ورد، به همراه URL جاییکه پیلود قرار دارد، دستوری تعبیه شده است که منجر به دانلود RTF میشود.
در این حمله، shellcode از آسیبپذیری "CVE-2017-11882" سوءاستفاده میکند. علیرغم اینکه آسیبپذیری مذکور در نوامبر 2017 وصله شد اما Equation Editor هنوز یک آسیبپذیری کد از راه دور را نشان میدهد که در صورت حذف نشدن باید فوراً مورد بررسی قرار گیرد.
منبع:
- 286