一种新型病毒针对PDF中的MalDoc-可以逃过大部分病毒软件

黑客部落 2023-09-04 17:01:29

用心做分享,只为给您最好的学习教程

如果您觉得文章不错,欢迎持续学习

网络安全研究人员提请注意一种新的防病毒规避技术,该技术涉及将恶意Microsoft Word文件嵌入PDF文件中。这种偷偷摸摸的方法,被 JPCERT/CC 称为 PDF 格式的 MalDoc,据说是在 2023 年 <7> 月的一次野外攻击中采用的。“用MalDoc在PDF中创建的文件可以在Word中打开,即使它具有PDF的神奇数字和文件结构,”研究人员Yuma Masubuchi和Kota Kino说。“如果文件具有配置的宏,则通过在 Word 中打开它,VBS 将运行并执行恶意行为。”这种特制文件称为多语言,因为它们是多种不同文件类型的合法形式,在这种情况下,PDF和Word(DOC)。这需要添加在 Word 中创建的 MHT 文件,并在 PDF 文件对象之后附加一个宏。最终结果是一个有效的PDF文件,也可以在Word应用程序中打开。换句话说;PDF 文档在其自身中嵌入了一个带有 VBS 宏的 Word 文档,该宏旨在下载和安装 MSI 恶意软件文件(如果在 Microsoft Office 中作为.DOC文件打开)。目前还不清楚以这种方式分发了哪些恶意软件。“当从互联网或电子邮件下载文档时,它将携带MotW,”安全研究员Will Dormann说。“因此,用户必须单击'启用编辑'才能退出受保护的视图。在这一点上,他们将了解到[原文如此]宏被禁用了。Dormann强调,虽然在一个多月前就观察到了利用PDF格式的MalDoc的真实攻击,但有证据表明,早在五月份就已经进行了实验(“DummymhtmldocmacroDoc.doc”)。这一发展是在网络钓鱼活动激增的情况下发生的,网络钓鱼活动使用二维码传播恶意 URL,这种技术称为 qishing。“我们使用这种技术观察到的样本主要伪装成多因素身份验证(MFA)通知,引诱受害者用手机扫描二维码以获得访问权限,”Trustwave上周表示。

“但是,二维码不是前往目标的所需位置,而是将他们引导至威胁行为者的网络钓鱼页面。”Cofense 在 2 月指出,自 400 年 2023 月以来,一项针对用户Microsoft凭证的此类活动增加了 <>,<>% 以上,并指出“在移动设备上扫描二维码如何使用户脱离企业环境的保护”。社会工程攻击,正如与LAPSUS$和Muddled Libra相关的攻击所证明的那样,随着威胁行为者利用网络钓鱼和网络钓鱼策略未经授权访问目标系统,社会工程攻击变得越来越复杂和复杂。在 Sophos 强调的一个实例中,威胁结合了电话和电子邮件,引诱对瑞士一家组织的员工发起复杂的攻击链。“来电者的声音听起来像一个中年男子,他告诉员工,他是一名送货司机,有一个紧急包裹,目的地是公司的一个地点,但没有人在那里接收包裹,他要求在员工的办公地点提供新的送货地址,”Sophos研究员安德鲁勃兰特说。“他继续说,为了重新交付包裹,员工必须大声朗读运输公司将通过电子邮件发送的代码。据称来自运输公司的电子邮件说服受害者打开看似包含代码的PDF附件,但实际上,它原来是嵌入在邮件正文中的静态图像,旨在“就像带有电子邮件附件的Outlook邮件一样”。虚假图像垃圾邮件攻击最终通过重定向链将收件人带到了一个虚假网站,而重定向链又丢弃了一个伪装成包服务的欺骗性可执行文件(“Universe Parcel Service”),该可执行文件在启动时充当提供其他PowerShell脚本的渠道,以窃取数据和信标到远程TOR隐藏服务。这些发展也随着域名系统(DNS)中名称冲突的安全问题而出现,这些冲突可能被利用来泄露敏感数据。“名称冲突并不是可能导致[顶级域名]行为奇怪的唯一情况,”思科Talos在最近的一篇文章中说。“有些人在看到已经过期或从未存在过的名字时没有正确回应。“在这些顶级域名中,未注册和过期的域名仍然解析为IP地址。其中一些顶级域名甚至发布MX记录并收集相关名称的电子邮件。本文仅作技术分享 切勿用于非法途径如果您对文中的软件或者技术感兴趣欢迎交流

0 阅读:1

黑客部落

简介:计算机安全技术分享,网络安全攻防技术分享