Η ομάδα αντιμετώπισης έκτακτων περιστατικών υπολογιστών της Ιαπωνίας (JPCERT) έκανε λόγο για μια επίθεση με την ονομασία “MalDoc in PDF“, η οποία ανιχνεύθηκε τον Ιούλιο του 2023 και αποφεύγει την ανίχνευση ενσωματώνοντας κακόβουλα αρχεία Word σε αρχεία PDF.
Το αρχείο που εξέτασε το JPCERT, είναι ένα polyglot που αναγνωρίζεται από τις περισσότερες μηχανές και εργαλεία σάρωσης ως PDF. Ωστόσο, οι εφαρμογές office μπορούν να το ανοίξουν ως ένα κανονικό έγγραφο του Word (.doc).
Τα polyglot είναι αρχεία που περιλαμβάνουν δύο διαφορετικά file formats και μπορούν να ερμηνευτούν και να εκτελεστούν και με τους δύο τύπους αρχείων, ανάλογα με την εφαρμογή που τα διαβάζει ή τα ανοίγει.
Δείτε επίσης: Το KmsdBot malware αναβαθμίστηκε: Τώρα στοχεύει συσκευές IoT
Για παράδειγμα, σε αυτήν την καμπάνια χρησιμοποιούνται κακόβουλα έγγραφα που είναι συνδυασμός PDF και Word και μπορούν να ανοίξουν είτε με τη μια μορφή είτε με την άλλη.
Συνήθως, οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν αρχεία polyglot, όταν θέλουν να αποφύγουν τον εντοπισμό ή να μπερδέψουν τα εργαλεία ανάλυσης. Και αυτό γιατί τα αρχεία μπορεί να φαίνονται αβλαβή στη μια τους μορφή, αλλά μπορεί να κρύβουν κακόβουλο κώδικα στην άλλη. Όπως συμβαίνει και στην πρόσφατη καμπάνια MalDoc in PDF που ανακάλυψε η Ιαπωνία.
Σε αυτήν την περίπτωση, το έγγραφο PDF περιέχει ένα έγγραφο του Word με VBS macro για λήψη και εγκατάσταση ενός MSI malware file, κατά το άνοιγμα ως αρχείο .doc στο Microsoft Office. Ωστόσο, το Ιαπωνικό CERT δεν έδωσε περισσότερες λεπτομέρειες σχετικά με το είδος του malware.
Ευτυχώς, η επίθεση MalDoc in PDF δεν παρακάμπτει τις ρυθμίσεις ασφαλείας που απενεργοποιούν την αυτόματη εκτέλεση μακροεντολών στο Microsoft Office. Επομένως, οι χρήστες μπορούν να παραμείνουν προστατευμένοι, εκτός και αν ενεργοποιήσουν manually τις μακροεντολές ή απενεργοποιήσουν τις ρυθμίσεις ασφαλείας.
Δείτε επίσης: Πολωνία: Έρευνα για hacking επίθεση στους σιδηροδρόμους της χώρας
Το JPCERT κυκλοφόρησε ένα βίντεο στο YouTube για να δείξει πώς λειτουργεί η νέα επίθεση MalDoc in PDF.
Παρότι η ενσωμάτωση ενός τύπου αρχείου σε ένα άλλο δεν είναι κάτι καινούριο στον κόσμο του hacking (πολλοί επιτιθέμενοι χρησιμοποιούν αρχεία polyglot για να αποφύγουν τον εντοπισμό), το JPCERT ισχυρίζεται ότι η τεχνική, που χρησιμοποιείται τώρα, είναι νέα.
Ένα από τα κύρια πλεονεκτήματα της επίθεσης MalDoc in PDF είναι η δυνατότητα να αποφεύγεται η ανίχνευσή του malware από παραδοσιακά εργαλεία ανάλυσης PDF και άλλα αυτοματοποιημένα εργαλεία ανάλυσης που εξετάζουν μόνο την εξωτερική επιφάνεια του αρχείου. Το αρχείο φαίνεται να έχει μια νόμιμη δομή PDF, οπότε δεν φαίνεται ύποπτο.
Ωστόσο, σύμφωνα με το JPCERT, υπάρχουν άλλα εργαλεία ανάλυσης, όπως το “OLEVBA“, που μπορούν να ανιχνεύσουν το κακόβουλο περιεχόμενο που κρύβεται στο polyglot. Αυτό σημαίνει ότι αν χρησιμοποιείτε πολυεπίπεδη άμυνα και διάφορα ανίχνευσης μπορείτε να αντιμετωπίσετε αποτελεσματικά την απειλή.
Δείτε επίσης: Kroll: Ανακοίνωσε παραβίαση δεδομένων (ξεκίνησε από SIM swapping)
Η νέα τεχνική επίθεσης “MalDoc in PDF” αποτελεί ένα πρόσφατο παράδειγμα της εξελιγμένης φύσης του κυβερνοεγκλήματος. Με την ενσωμάτωση κακόβουλων αρχείων Word σε αρχεία PDF, οι επιτιθέμενοι επιδιώκουν να αποφύγουν την ανίχνευση και να μεταδώσουν malware που μπορεί να προκαλέσει σημαντική ζημιά στα συστήματα των θυμάτων. Αυτό που καθιστά αυτήν την επίθεση ιδιαίτερα ανησυχητική είναι η ευελιξία και η πολυπλοκότητα της μεθόδου: κατά την ενασχόληση με αρχεία polyglot, οι επιτιθέμενοι επιδεικνύουν έναν βαθμό προσαρμογής και τεχνικής ικανότητας που απαιτεί σοβαρή αντίδραση από την κοινότητα της ασφάλειας πληροφοριών.
Πηγή: www.bleepingcomputer.com
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/479442/maldoc-in-pdf-apokripsi-kakoboulon-word-arxeion-se-pdfs/&media=https://www.secnews.gr/wp-content/uploads/2023/08/MalDoc-in-PDF.jpg&description=Το CERT της Ιαπωνίας κοινοποιεί μια νέα επίθεση με την ονομασία "MalDoc in PDF", η οποία ενσωματώνει κακόβουλα αρχεία Word σε αρχεία PDF.){kind=link}