I ricercatori di HP Wolf Security hanno scoperto una nuova campagna di malware che ha una catena di infezione piuttosto insolita per diffondere Snake Keylogger: il malware “è arrivato” in un documento PDF, un formato che gli aggressori usano meno comunemente per infettare i PC.
Snake Keylogger è un info-stealer che cerca di raccogliere numerosi dati dal computer, tra cui le credenziali di login da browser, client e-mail e reti Wi-Fi.
In questa campagna, gli aggressori utilizzano anche diversi trucchi per eludere il rilevamento, come l’incorporamento di file dannosi, il caricamento di exploit ospitati in remoto e la crittografia dello shellcode.
Gli esperti spiegano che negli ultimi dieci anni i cyber criminali preferiscono veicolare i malware nei formati di Microsoft Office, in particolare Word ed Excel, in quanto gli utenti hanno familiarità con questi tipi di file, le applicazioni utilizzate per aprirli sono onnipresenti e sono adatte alle esche di social engineering. Così, gli attori malevoli hanno iniziato a utilizzare documenti in PDF per distribuire i malware.
Le e-mail individuate dagli esperti di HP Wolf Security presentavano un file PDF in allegato che dal nome sembrava una ricevuta di pagamento. Una volta aperto, il software di Adobe Reader richiedeva all’utente di aprire un file .docx contenuto al suo interno. Gli aggressori hanno scelto un nome ad hoc per ingannare gli utenti, ovvero “has been verified. However PDF, Jpeg, xlsx, .docx” per far sembrare che il nome del file faccia parte del prompt di Adobe.
Se torniamo al documento PDF e facciamo clic su “Apri questo file” al prompt, si apre Microsoft Word e, laddove la funzionalità Visualizzazione protetta è disabilitata in Word, viene eseguita la macro presente nel documento per scaricare ed aprire un file RTF.
Sfruttando una vecchia vulnerabilità di Microsoft Equation Editor (CVE-2017-11882), lo shellcode nel file RTF scarica l’eseguibile fresh.exe, ossia Snake Keylogger.
“Sebbene i formati Office rimangano popolari, questa campagna mostra come gli aggressori utilizzino anche documenti PDF armati per infettare i sistemi. L’incorporamento di file, il caricamento di exploit ospitati in remoto e la crittografia dello shellcode sono solo tre delle tecniche utilizzate dagli aggressori per eseguire malware sotto il radar. La vulnerabilità sfruttata in questa campagna (CVE-2017-11882) ha più di quattro anni, ma continua a essere utilizzata, suggerendo che l’exploit rimane efficace per gli aggressori”, concludono gli esperti di HP Wolf Security.
https://threatresearch.ext.hp.com/pdf-malware-is-not-yet-dead/
https://www.punto-informatico.it/snake-keylogger-distribuito-allegati-pdf/