请选择
进入手机版
|
继续访问电脑版
设为首页
收藏本站
开启辅助访问
切换到窄版
登录
立即注册
快捷导航
发布信息
搜索
搜索
新闻资讯
会员排行
首页
Portal
板块
BBS
商户平台
圈子大厅
Group
自营商铺
源码市场
蓝社公告
APP下载
本版
帖子
圈子大厅
用户
蓝社网
»
板块
›
用户板块
›
综合圈
›
Snake键盘记录器可以通过恶意的PDF文件传播
返回列表
发新帖
Snake键盘记录器可以通过恶意的PDF文件传播
[复制链接]
102663
|
0
|
2022-6-10 11:25:00
|
显示全部楼层
|
阅读模式
研究职员发现,固然大多数恶意电子邮件活动都会使用 Word 文档来埋伏和流传恶意软件,但在迩来发现的一个攻击活动中攻击者使用了一个恶意的 PDF 文件和一个很多年前的 Office 毛病来流传 Snake Keylogger 恶意软件。
据周五发表的一篇博客文章称,惠普 Wolf 安全公司的研究职员发现了这一攻击活动,该活动使用了一个 PDF 附件文件来诱骗受害者,谎称文件内有关于汇款的信息。然而,它实际是加载了偷取信息的恶意软件,而且还使用了一些规避战术来克制被杀毒软件发现。
惠普的 wolf 安全团队研究员在这篇文章中写道,固然如今 Office 格式仍旧很盛行,但这一攻击活动表明攻击者也在使用武器化的 PDF 文件来感染体系。
Schlapfer 说,简直,在已往十年中,使用恶意电子邮件举行攻击的攻击者更喜好将恶意软件打包成微软的 Office 文件格式,特殊是 Word 和 Excel。据研究职员称,仅在 2022 年第一季度,惠普的 wolf 安全公司所克制的恶意软件中有近一半(45%)使用的是 Office 格式。
他写道,缘故因由很显着,用户非常认识这些文件范例,有很多可以大概直接打开它们的应用步伐,而且它们也非常适适用作社会工程学攻击的诱饵。
不外,研究职员还发现,固然新的攻击活动确着实文件诱饵中使用了 PDF 文件,但它厥后照旧采取了微软的 Word 来触发终极的有效载荷 --Snake Keylogger。据 Fortinet 称,Snake Keylogger 是一种使用 .NET 开辟的恶意软件,初次出如今 2020 年底,该软件可以从受害者的装备中偷取敏感信息,包罗生存的凭据、受害者的击键内容、受害者的屏幕截图以及剪贴板内的数据。
差别平常的攻击活动
HPW Wolf 安全团队在 3 月 23 日注意到了一个新的基于 PDF 的威胁攻击活动,它有一个 非常不平常的感染链,不但使用了一个 PDF 文件,还使用了几个躲避检测的本领,如嵌入恶意文件,加载长途托管的毛病以及 shellcode 加密。
攻击者针对受害者发送电子邮件,此中就包罗了一个名为 "REMMITANCE INVOICE.pdf " 的 PDF 文件作为附件。研究职员发现,假如有人打开该文件,Adobe Reader 会提示用户打开一个名字非常古怪的 .docx 文件。
该帖子称,攻击者会偷偷地将 Word 文件定名为 " has been verified. However PDF, Jpeg, xlsx, .docx",如许会使文件名看起来像是 Adobe Reader 提示语中的一部门。
研究职员发现,.docx 文件作为一个嵌入式文件对象存储在 PDF 中,假如用户点击它就会打开 Microsoft Word。假如掩护视图被禁用,Word 会从网络服务器下载一个富文本格式(.rtf)的文件。这是一个 Office Open XML 文件,然后在打开的文件内运行。
研究职员通过解压缩 .rtf 的内容,发现了一个埋伏在 "document.xml.rels " 文件中的 URL,他们说,这不是 Office 文档中的正当域名。
一个古老的毛病被使用
当用户毗连到这个 URL 就会导致网页重定向,然后下载一个名为 "f_document_shp.doc " 的 RTF 文档。该文件包罗了两个格式错误的 OLE 对象,内里包罗了使用 CVE-2017-11882 的 shellcode,研究职员说这是一个很久从前的长途代码实验毛病(RCE),该毛病出如今方程编辑器中。
方程编辑器是 Office 套件默认安装的应用步伐,用于在微软 Word 文档中为对象链接和嵌入(OLE)项目插入以及编辑复杂的方程式。
然而,究竟证明,攻击者在活动中使用的毛病实际上是微软在四年多前 -- 确切地说,是 2017 年打了补丁,但实际上在那之前已经存在了约 17 年,该毛病距如今已经有 22 年的汗青了。
作为此次攻击最告急的部门,研究职员发现了存储在他们查抄的一个 OLENativeStream 结构中的 shellcode。研究职员发现,该代码终极会解密一个暗码文本,而这个暗码文本原来就包罗真正的 shellcode,在实验后会启动一个名为 fresh.exe 的可实验文件,而且该文件会加载 Snake Keylogger。
回复
使用道具
举报
提升卡
返回列表
发新帖
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
回帖并转播
回帖后跳转到最后一页
多损啊
多损啊个人勋章
媒创新闻网
1595
主题
1814
帖子
8282
积分
企业认证账号
积分
8282
加好友
发消息
回复楼主
返回列表
视频
综合圈
图文推荐
《超自然车旅》评测7.8分:更加破碎的公路旅行
2024-03-17
2024最吓人的画面出现了!
2024-03-14
别硬演!《猎冰》大结局姚安娜这场哭戏让人捧腹大笑
2024-03-11
再坚持坚持,就能给女神买包包了
2024-03-08
蛋糕店老板的执行力太强了哈哈
2024-03-08
热门排行
1
李斌批美国:特斯拉在中国爆火 但你却让蔚来难卖车
2
雷军称现在是小米生死存亡时刻?MIUI 15界面或有新调整
3
花88888元,安排周杰伦拍合影?演出商一句话亮了
4
海归不香了,月薪几千块
5
华为自研芯片,回归!
6
「宋丹丹有什么作品吗」,今年内娱头号笑话
7
央视网评杨洋新剧:拿着旧地图找不到新大陆
8
不知羞耻,这都敢拍出来?