研究人員發(fā)現(xiàn)，雖然大多數(shù)惡意電子郵件活動都會使用Word文檔來隱藏和傳播惡意軟件，但在最近發(fā)現(xiàn)的一個攻擊活動中攻擊者使用了一個惡意的PDF文件和一個很多年前的Office漏洞來傳播Snake Keylogger惡意軟件。

據(jù)周五發(fā)表的一篇博客文章稱，惠普 Wolf安全公司的研究人員發(fā)現(xiàn)了這一攻擊活動，該活動使用了一個PDF附件文件來欺騙受害者，謊稱文件內(nèi)有關于匯款的信息。然而，它實際是加載了竊取信息的惡意軟件，并且還使用了一些規(guī)避戰(zhàn)術(shù)來避免被殺毒軟件發(fā)現(xiàn)。

惠普的wolf安全團隊研究員在這篇文章中寫道，雖然現(xiàn)在Office格式仍然很流行，但這一攻擊活動表明攻擊者也在使用武器化的PDF文件來感染系統(tǒng)。

Schlapfer說，的確，在過去十年中，使用惡意電子郵件進行攻擊的攻擊者更喜歡將惡意軟件打包成微軟的Office文件格式，特別是Word和Excel。據(jù)研究人員稱，僅在2022年第一季度，惠普的wolf安全公司所阻止的惡意軟件中有近一半（45%）使用的是Office格式。

他寫道，原因很明顯，用戶非常熟悉這些文件類型，有很多能夠直接打開它們的應用程序，并且它們也非常適合用作社會工程學攻擊的誘餌。

不過，研究人員還發(fā)現(xiàn)，雖然新的攻擊活動確實在文件誘餌中使用了PDF文件，但它后來還是采用了微軟的Word來觸發(fā)最終的有效載荷--Snake Keylogger。據(jù)Fortinet稱，Snake Keylogger是一種使用.NET開發(fā)的惡意軟件，首次出現(xiàn)在2020年底，該軟件可以從受害者的設備中竊取敏感信息，包括保存的憑證、受害者的擊鍵內(nèi)容、受害者的屏幕截圖以及剪貼板內(nèi)的數(shù)據(jù)。

不同尋常的攻擊活動

HPW Wolf 安全團隊在3月23日注意到了一個新的基于PDF的威脅攻擊活動，它有一個 非常不尋常的感染鏈，不僅使用了一個PDF文件，還使用了幾個逃避檢測的技巧，如嵌入惡意文件，加載遠程托管的漏洞以及shellcode加密。

攻擊者針對受害者發(fā)送電子郵件，其中就包括了一個名為 "REMMITANCE INVOICE.pdf "的PDF文件作為附件。研究人員發(fā)現(xiàn)，如果有人打開該文件，Adobe Reader會提示用戶打開一個名字非常古怪的.docx文件。

該帖子稱，攻擊者會偷偷地將Word文件命名為 " has been verified. However PDF, Jpeg, xlsx, .docx"，這樣會使文件名看起來像是Adobe Reader提示語中的一部分。

研究人員發(fā)現(xiàn)，.docx文件作為一個嵌入式文件對象存儲在PDF中，如果用戶點擊它就會打開Microsoft Word。如果保護視圖被禁用，Word會從網(wǎng)絡服務器下載一個富文本格式（.rtf）的文件。這是一個Office Open XML文件，然后在打開的文件內(nèi)運行。

研究人員通過解壓縮.rtf的內(nèi)容，發(fā)現(xiàn)了一個隱藏在 "document.xml.rels "文件中的URL，他們說，這不是Office文檔中的合法域名。

一個古老的漏洞被利用

當用戶連接到這個URL就會導致網(wǎng)頁重定向，然后下載一個名為 "f_document_shp.doc "的RTF文檔。該文件包含了兩個格式錯誤的OLE對象，里面包含了利用CVE-2017-11882的shellcode，研究人員說這是一個很久以前的遠程代碼執(zhí)行漏洞（RCE），該漏洞出現(xiàn)在方程編輯器中。

方程編輯器是Office套件默認安裝的應用程序，用于在微軟Word文檔中為對象鏈接和嵌入（OLE）項目插入以及編輯復雜的方程式。

然而，事實證明，攻擊者在活動中利用的漏洞實際上是微軟在四年多前--確切地說，是2017年打了補丁，但實際上在那之前已經(jīng)存在了約17年，該漏洞距現(xiàn)在已經(jīng)有22年的歷史了。

作為此次攻擊最重要的部分，研究人員發(fā)現(xiàn)了存儲在他們檢查的一個OLENativeStream結(jié)構(gòu)中的shellcode。研究人員發(fā)現(xiàn)，該代碼最終會解密一個密碼文本，而這個密碼文本原來就包含真正的shellcode，在執(zhí)行后會啟動一個名為fresh.exe的可執(zhí)行文件，并且該文件會加載Snake Keylogger。

本文翻譯自：https://threatpost.com/snake-keylogger-pdfs/179703/如若轉(zhuǎn)載，請注明原文地址。