Il JPCERT giapponese ha avvisato di una nuova tecnica di attacco, denominata “MalDoc in PDF”, rilevata di recente che aggira il rilevamento incorporando un file Word dannoso nei PDF.
Il team giapponese di risposta alle emergenze informatiche ha spiegato che un file creato con MalDoc in PDF ha numeri “magici” e struttura di file PDF, ma può essere aperto in Word. Se il file include una macro dannosa il codice dannoso può essere eseguito aprendo il file. Nell’attacco osservato da JPCERT/CC, gli autori delle minacce hanno utilizzato l’estensione del file .doc.
“Pertanto, se un file .doc è configurato per l’apertura in Word nelle impostazioni di Windows, il file creato da MalDoc in PDF viene aperto come file Word”, si legge nel report pubblicato da JPCERT. “L’aggressore aggiunge un file mht creato in Word e con macro allegata dopo l’oggetto file PDF e lo salva. Il file creato viene riconosciuto come file PDF nella firma del file, ma può essere aperto anche in Word.”
Secondo gli esperti del JPCERT, lo strumento di analisi OLEVBA per file Word dannosi può essere utilizzato per rilevare file dannosi creati per eseguire questa tecnica di attacco. Tuttavia, strumenti di analisi PDF popolari come “pdfid” potrebbero non essere in grado di rilevare il file dannoso.
“La tecnica descritta in questo articolo non ignora l’impostazione che disabilita l’esecuzione automatica nella macro di Word. Tuttavia, poiché i file vengono riconosciuti come PDF, dovresti prestare attenzione ai risultati del rilevamento se stai eseguendo un’analisi automatizzata del malware utilizzando alcuni strumenti, sandbox, ecc. Fai riferimento all’Appendice per le informazioni C2 e i valori hash del malware confermato”, conclude il report che include anche una regola Yara per rilevare i file utilizzati negli attacchi “MalDoc in PDF”.
