研究人員發(fā)現(xiàn)，雖然大多數(shù)惡意電子郵件活動(dòng)都會(huì)使用Word文檔來(lái)隱藏和傳播惡意軟件，但在最近發(fā)現(xiàn)的一個(gè)攻擊活動(dòng)中攻擊者使用了一個(gè)惡意的PDF文件和一個(gè)很多年前的Office漏洞來(lái)傳播Snake Keylogger惡意軟件。

據(jù)周五發(fā)表的一篇博客文章稱，惠普 Wolf安全公司的研究人員發(fā)現(xiàn)了這一攻擊活動(dòng)，該活動(dòng)使用了一個(gè)PDF附件文件來(lái)欺騙受害者，謊稱文件內(nèi)有關(guān)于匯款的信息。然而，它實(shí)際是加載了竊取信息的惡意軟件，并且還使用了一些規(guī)避戰(zhàn)術(shù)來(lái)避免被殺毒軟件發(fā)現(xiàn)。

惠普的wolf安全團(tuán)隊(duì)研究員在這篇文章中寫道，雖然現(xiàn)在Office格式仍然很流行，但這一攻擊活動(dòng)表明攻擊者也在使用武器化的PDF文件來(lái)感染系統(tǒng)。

Schlapfer說(shuō)，的確，在過(guò)去十年中，使用惡意電子郵件進(jìn)行攻擊的攻擊者更喜歡將惡意軟件打包成微軟的Office文件格式，特別是Word和Excel。據(jù)研究人員稱，僅在2022年第一季度，惠普的wolf安全公司所阻止的惡意軟件中有近一半（45%）使用的是Office格式。

他寫道，原因很明顯，用戶非常熟悉這些文件類型，有很多能夠直接打開它們的應(yīng)用程序，并且它們也非常適合用作社會(huì)工程學(xué)攻擊的誘餌。

不過(guò)，研究人員還發(fā)現(xiàn)，雖然新的攻擊活動(dòng)確實(shí)在文件誘餌中使用了PDF文件，但它后來(lái)還是采用了微軟的Word來(lái)觸發(fā)最終的有效載荷--Snake Keylogger。據(jù)Fortinet稱，Snake Keylogger是一種使用.NET開發(fā)的惡意軟件，首次出現(xiàn)在2020年底，該軟件可以從受害者的設(shè)備中竊取敏感信息，包括保存的憑證、受害者的擊鍵內(nèi)容、受害者的屏幕截圖以及剪貼板內(nèi)的數(shù)據(jù)。

不同尋常的攻擊活動(dòng)

HPW Wolf 安全團(tuán)隊(duì)在3月23日注意到了一個(gè)新的基于PDF的威脅攻擊活動(dòng)，它有一個(gè) 非常不尋常的感染鏈，不僅使用了一個(gè)PDF文件，還使用了幾個(gè)逃避檢測(cè)的技巧，如嵌入惡意文件，加載遠(yuǎn)程托管的漏洞以及shellcode加密。

攻擊者針對(duì)受害者發(fā)送電子郵件，其中就包括了一個(gè)名為 "REMMITANCE INVOICE.pdf "的PDF文件作為附件。研究人員發(fā)現(xiàn)，如果有人打開該文件，Adobe Reader會(huì)提示用戶打開一個(gè)名字非常古怪的.docx文件。

該帖子稱，攻擊者會(huì)偷偷地將Word文件命名為 " has been verified. However PDF, Jpeg, xlsx, .docx"，這樣會(huì)使文件名看起來(lái)像是Adobe Reader提示語(yǔ)中的一部分。

研究人員發(fā)現(xiàn)，.docx文件作為一個(gè)嵌入式文件對(duì)象存儲(chǔ)在PDF中，如果用戶點(diǎn)擊它就會(huì)打開Microsoft Word。如果保護(hù)視圖被禁用，Word會(huì)從網(wǎng)絡(luò)服務(wù)器下載一個(gè)富文本格式（.rtf）的文件。這是一個(gè)Office Open XML文件，然后在打開的文件內(nèi)運(yùn)行。

研究人員通過(guò)解壓縮.rtf的內(nèi)容，發(fā)現(xiàn)了一個(gè)隱藏在 "document.xml.rels "文件中的URL，他們說(shuō)，這不是Office文檔中的合法域名。

一個(gè)古老的漏洞被利用

當(dāng)用戶連接到這個(gè)URL就會(huì)導(dǎo)致網(wǎng)頁(yè)重定向，然后下載一個(gè)名為 "f_document_shp.doc "的RTF文檔。該文件包含了兩個(gè)格式錯(cuò)誤的OLE對(duì)象，里面包含了利用CVE-2017-11882的shellcode，研究人員說(shuō)這是一個(gè)很久以前的遠(yuǎn)程代碼執(zhí)行漏洞（RCE），該漏洞出現(xiàn)在方程編輯器中。

方程編輯器是Office套件默認(rèn)安裝的應(yīng)用程序，用于在微軟Word文檔中為對(duì)象鏈接和嵌入（OLE）項(xiàng)目插入以及編輯復(fù)雜的方程式。

然而，事實(shí)證明，攻擊者在活動(dòng)中利用的漏洞實(shí)際上是微軟在四年多前--確切地說(shuō)，是2017年打了補(bǔ)丁，但實(shí)際上在那之前已經(jīng)存在了約17年，該漏洞距現(xiàn)在已經(jīng)有22年的歷史了。

作為此次攻擊最重要的部分，研究人員發(fā)現(xiàn)了存儲(chǔ)在他們檢查的一個(gè)OLENativeStream結(jié)構(gòu)中的shellcode。研究人員發(fā)現(xiàn)，該代碼最終會(huì)解密一個(gè)密碼文本，而這個(gè)密碼文本原來(lái)就包含真正的shellcode，在執(zhí)行后會(huì)啟動(dòng)一個(gè)名為fresh.exe的可執(zhí)行文件，并且該文件會(huì)加載Snake Keylogger。

本文翻譯自：https://threatpost.com/snake-keylogger-pdfs/179703/如若轉(zhuǎn)載，請(qǐng)注明原文地址。