A equipe de resposta a emergências de computador do Japão (JPCERT) está compartilhando um novo ataque 'MalDoc em PDF' detectado em julho de 2023 que burla a detecção incorporando arquivos Word maliciosos em PDFs.
O arquivo amostrado pela JPCERT é um poliglota reconhecido pela maioria dos motores e ferramentas de verificação como um PDF, mas os aplicativos de escritório podem abri-lo como um documento Word regular (.doc).
Poliglotas são arquivos que contêm dois formatos de arquivo distintos que podem ser interpretados e executados como mais de um tipo de arquivo, dependendo do aplicativo que os lê/abre.
Por exemplo, os documentos maliciosos nesta campanha são uma combinação de documentos PDF e Word, que podem ser abertos como qualquer formato de arquivo.
Normalmente, atores de ameaças usam poliglotas para evadir a detecção ou confundir ferramentas de análise, pois esses arquivos podem parecer inofensivos em um formato enquanto escondem código malicioso no outro.
Neste caso, o documento PDF contém um documento Word com um macro VBS para baixar e instalar um arquivo de malware MSI se aberto como um arquivo .doc no Microsoft Office.
No entanto, o CERT do Japão não compartilhou nenhum detalhe sobre que tipo de malware é instalado.
No entanto, deve-se notar que o MalDoc em PDF não burla as configurações de segurança que desabilitam a execução automática de macros no Microsoft Office, portanto, ainda são proteções adequadas que os usuários precisam desabilitar manualmente, seja clicando no botão correspondente ou desbloqueando o arquivo.
A JPCERT lançou o seguinte vídeo no YouTube para demonstrar como o MalDoc em arquivos PDF aparece e funciona no Windows.
Embora incorporar um tipo de arquivo em outro não seja algo novo, já que invasores implantando arquivos poliglotas para evadir a detecção já foi bem documentado, a técnica específica é nova, diz a JPCERT.
A principal vantagem do MalDoc em PDF para os invasores é a capacidade de evadir a detecção por ferramentas de análise de PDF tradicionais, como o 'pdfid' ou outras ferramentas de análise automatizadas que irão apenas examinar a camada externa do arquivo, que é uma estrutura PDF legítima.
No entanto, a JPCERT diz que outras ferramentas de análise como 'OLEVBA' ainda podem detectar o conteúdo malicioso escondido dentro do poliglota, portanto, defesas em várias camadas e conjuntos de detecção ricos devem ser eficazes contra essa ameaça.
A agência de cibersegurança também compartilhou uma regra Yara para ajudar pesquisadores e defensores a identificar arquivos usando a técnica 'MalDoc em PDF'.
A regra verifica se um arquivo começa com uma assinatura PDF e contém padrões indicativos de um documento Word, uma planilha do Excel ou um arquivo MHT, que se alinham com a técnica de evasão que a JPCERT identificou.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...