请选择 进入手机版 | 继续访问电脑版
设为首页收藏本站

Snake键盘记录器可以通过恶意的PDF文件传播

[复制链接]
查看102663 | 回复0 | 2022-6-10 11:25:00 | 显示全部楼层 |阅读模式
研究职员发现,固然大多数恶意电子邮件活动都会使用 Word 文档来埋伏和流传恶意软件,但在迩来发现的一个攻击活动中攻击者使用了一个恶意的 PDF 文件和一个很多年前的 Office 毛病来流传 Snake Keylogger 恶意软件。
据周五发表的一篇博客文章称,惠普 Wolf 安全公司的研究职员发现了这一攻击活动,该活动使用了一个 PDF 附件文件来诱骗受害者,谎称文件内有关于汇款的信息。然而,它实际是加载了偷取信息的恶意软件,而且还使用了一些规避战术来克制被杀毒软件发现。
惠普的 wolf 安全团队研究员在这篇文章中写道,固然如今 Office 格式仍旧很盛行,但这一攻击活动表明攻击者也在使用武器化的 PDF 文件来感染体系。
Schlapfer 说,简直,在已往十年中,使用恶意电子邮件举行攻击的攻击者更喜好将恶意软件打包成微软的 Office 文件格式,特殊是 Word 和 Excel。据研究职员称,仅在 2022 年第一季度,惠普的 wolf 安全公司所克制的恶意软件中有近一半(45%)使用的是 Office 格式。
他写道,缘故因由很显着,用户非常认识这些文件范例,有很多可以大概直接打开它们的应用步伐,而且它们也非常适适用作社会工程学攻击的诱饵。
不外,研究职员还发现,固然新的攻击活动确着实文件诱饵中使用了 PDF 文件,但它厥后照旧采取了微软的 Word 来触发终极的有效载荷 --Snake Keylogger。据 Fortinet 称,Snake Keylogger 是一种使用 .NET 开辟的恶意软件,初次出如今 2020 年底,该软件可以从受害者的装备中偷取敏感信息,包罗生存的凭据、受害者的击键内容、受害者的屏幕截图以及剪贴板内的数据。
差别平常的攻击活动
HPW Wolf 安全团队在 3 月 23 日注意到了一个新的基于 PDF 的威胁攻击活动,它有一个 非常不平常的感染链,不但使用了一个 PDF 文件,还使用了几个躲避检测的本领,如嵌入恶意文件,加载长途托管的毛病以及 shellcode 加密。
攻击者针对受害者发送电子邮件,此中就包罗了一个名为 "REMMITANCE INVOICE.pdf " 的 PDF 文件作为附件。研究职员发现,假如有人打开该文件,Adobe Reader 会提示用户打开一个名字非常古怪的 .docx 文件。
该帖子称,攻击者会偷偷地将 Word 文件定名为 " has been verified. However PDF, Jpeg, xlsx, .docx",如许会使文件名看起来像是 Adobe Reader 提示语中的一部门。
研究职员发现,.docx 文件作为一个嵌入式文件对象存储在 PDF 中,假如用户点击它就会打开 Microsoft Word。假如掩护视图被禁用,Word 会从网络服务器下载一个富文本格式(.rtf)的文件。这是一个 Office Open XML 文件,然后在打开的文件内运行。
研究职员通过解压缩 .rtf 的内容,发现了一个埋伏在 "document.xml.rels " 文件中的 URL,他们说,这不是 Office 文档中的正当域名。
一个古老的毛病被使用
当用户毗连到这个 URL 就会导致网页重定向,然后下载一个名为 "f_document_shp.doc " 的 RTF 文档。该文件包罗了两个格式错误的 OLE 对象,内里包罗了使用 CVE-2017-11882 的 shellcode,研究职员说这是一个很久从前的长途代码实验毛病(RCE),该毛病出如今方程编辑器中。
方程编辑器是 Office 套件默认安装的应用步伐,用于在微软 Word 文档中为对象链接和嵌入(OLE)项目插入以及编辑复杂的方程式。
然而,究竟证明,攻击者在活动中使用的毛病实际上是微软在四年多前 -- 确切地说,是 2017 年打了补丁,但实际上在那之前已经存在了约 17 年,该毛病距如今已经有 22 年的汗青了。
作为此次攻击最告急的部门,研究职员发现了存储在他们查抄的一个 OLENativeStream 结构中的 shellcode。研究职员发现,该代码终极会解密一个暗码文本,而这个暗码文本原来就包罗真正的 shellcode,在实验后会启动一个名为 fresh.exe 的可实验文件,而且该文件会加载 Snake Keylogger。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则