MalDoc em PDFs: Escondendo documentos Word maliciosos em arquivos PDF
29 de Agosto de 2023

A equipe de resposta a emergências de computador do Japão (JPCERT) está compartilhando um novo ataque 'MalDoc em PDF' detectado em julho de 2023 que burla a detecção incorporando arquivos Word maliciosos em PDFs.

O arquivo amostrado pela JPCERT é um poliglota reconhecido pela maioria dos motores e ferramentas de verificação como um PDF, mas os aplicativos de escritório podem abri-lo como um documento Word regular (.doc).

Poliglotas são arquivos que contêm dois formatos de arquivo distintos que podem ser interpretados e executados como mais de um tipo de arquivo, dependendo do aplicativo que os lê/abre.

Por exemplo, os documentos maliciosos nesta campanha são uma combinação de documentos PDF e Word, que podem ser abertos como qualquer formato de arquivo.

Normalmente, atores de ameaças usam poliglotas para evadir a detecção ou confundir ferramentas de análise, pois esses arquivos podem parecer inofensivos em um formato enquanto escondem código malicioso no outro.

Neste caso, o documento PDF contém um documento Word com um macro VBS para baixar e instalar um arquivo de malware MSI se aberto como um arquivo .doc no Microsoft Office.

No entanto, o CERT do Japão não compartilhou nenhum detalhe sobre que tipo de malware é instalado.

No entanto, deve-se notar que o MalDoc em PDF não burla as configurações de segurança que desabilitam a execução automática de macros no Microsoft Office, portanto, ainda são proteções adequadas que os usuários precisam desabilitar manualmente, seja clicando no botão correspondente ou desbloqueando o arquivo.

A JPCERT lançou o seguinte vídeo no YouTube para demonstrar como o MalDoc em arquivos PDF aparece e funciona no Windows.

Embora incorporar um tipo de arquivo em outro não seja algo novo, já que invasores implantando arquivos poliglotas para evadir a detecção já foi bem documentado, a técnica específica é nova, diz a JPCERT.

A principal vantagem do MalDoc em PDF para os invasores é a capacidade de evadir a detecção por ferramentas de análise de PDF tradicionais, como o 'pdfid' ou outras ferramentas de análise automatizadas que irão apenas examinar a camada externa do arquivo, que é uma estrutura PDF legítima.

No entanto, a JPCERT diz que outras ferramentas de análise como 'OLEVBA' ainda podem detectar o conteúdo malicioso escondido dentro do poliglota, portanto, defesas em várias camadas e conjuntos de detecção ricos devem ser eficazes contra essa ameaça.

A agência de cibersegurança também compartilhou uma regra Yara para ajudar pesquisadores e defensores a identificar arquivos usando a técnica 'MalDoc em PDF'.

A regra verifica se um arquivo começa com uma assinatura PDF e contém padrões indicativos de um documento Word, uma planilha do Excel ou um arquivo MHT, que se alinham com a técnica de evasão que a JPCERT identificou.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...