Snake Keylogger распространяется через вредоносные PDF-файлы

Snake Keylogger распространяется через вредоносные PDF-файлы

Электронное письмо с PDF-файлом может запустить кейлоггер и украсть ваши данные

image

23 марта команда HPW Wolf Security обнаружила новую вредоносную кампанию на основе PDF-файлов с «необычной цепочкой заражения», включающую не только PDF-файл, но и «несколько приемов, позволяющих избежать обнаружения, таких как встраивание вредоносных файлов, загрузка удаленно размещенных эксплойтов и шифрование шелл-кода», — написал Шлапфер.

По мере осведомленности людей о вредоносных вложениях Microsoft Office, злоумышленники переключились на другие методы развертывания вредоносных макросов и уклонения от обнаружения.

Согласно отчету HP Wolf Security , PDF-файл использовался в качестве проводника документа с вредоносными макросами, которые загружали и устанавливали вредоносное ПО для кражи информации с компьютера жертвы.

PDF-файл назывался «Счет-фактура», а в электронном письме содержались расплывчатые обещания оплаты получателю. При открытии PDF-файла Adobe Reader предложил пользователю открыть содержащийся внутри DOCX-файл, что уже необычно и может запутать жертву. Поскольку субъект угрозы назвал вложенный документ «проверенным», в окне «Открыть файл» говорится: «Файл был проверен». Это сообщение может заставить получателя поверить в подлинность и безопасность файла.


Специалист может проверить встроенный файл в PDF-документе с помощью синтаксических анализаторов и сценариев, а обычный пользователь проверить не сможет и откроет DOCX в Microsoft Word и, если макросы включены, с удаленного ресурса загрузится и откроется RTF-файл (rich text format).


Загрузка RTF является результатом следующей команды, встроенной в Word-файл вместе с заданным URL-адресом «vtaurl[.]com/IHytw», где размещается полезная нагрузка.


RTF-документ называется «f_document_shp.doc» и содержит искаженные OLE-объекты, которые не поддаются анализу. По словам экспертов, кампания пытается использовать старую уязвимость Microsoft Equation Editor для запуска произвольного кода.


Развернутый шеллкод использует ошибку удаленного выполнения кода в Equation Editor CVE-2017-11882 , исправленную в ноябре 2017 года, но все еще доступную для эксплуатации. Эта уязвимость сразу же привлекла внимание хакеров , а последующее исправление сделало ее одной из наиболее часто используемых уязвимостей в 2018 году. Шеллкод в RTF с помощью CVE-2017-11882 загружает и запускает Snake Keylogger, модульный инструмент для кражи личных данных с высокой устойчивостью и уклонением от защиты.

Ранее киберпреступники использовали ошибку в редакторе формул Microsoft Equation для обхода антивирусов. Задействовав цепочку уязвимостей, злоумышленники могли внедрить любое вредоносное ПО на скомпрометированную систему.

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!