Исследователи выявили сокрытие вредоносных документов Word в PDF-файлах

Японская группа реагирования на компьютерные чрезвычайные ситуации (JPCERT) поделилась информации о новой атаке MalDoc in PDF, обнаруженной в июле 2023 года. Хакеры обходят обнаружение путем встраивания вредоносных файлов Word в PDF-файлы.

Исследователи выявили сокрытие вредоносных документов Word в PDF-файлах. Фото: СС0

Файл, найденый JPCERT, представляет собой «полиглот», распознаваемый большинством механизмов сканирования и инструментов как PDF, однако офисные приложения могут открыть его как обычный документ Word (.doc).

«Полиглоты» — это файлы, которые содержат два разных формата файлов, которые могут интерпретироваться и выполняться как файлы более чем одного типа, в зависимости от приложения, читающего или открывающего их.

Например, вредоносные документы в этой серии атак представляют собой комбинацию документов PDF и Word, которые можно открыть в любом формате.

Злоумышленники используют полиглотов, чтобы избежать обнаружения или сбить с толку инструменты анализа, поскольку эти файлы могут выглядеть безобидными в одном формате, но скрывать вредоносный код в другом .

В описываемом случае документ PDF содержит документ Word с макросом VBS для загрузки и установки файла вредоносного ПО MSI, если он открыт как файл .doc в Microsoft Office. CERT не сообщил никаких подробностей о том, какой тип вредоносного ПО установлен.

MalDoc в PDF не обходит настройки безопасности, отключающие автоматическое выполнение макросов в Microsoft Office. Для того, чтобы злоумышленникам удалось достичь цели, жертва должна выключить блокировку вручную.

Хотя встраивание одного типа файлов в другой не является чем-то новым, поскольку злоумышленники используют многоязычные файлы для уклонения от обнаружения, было хорошо задокументировано, конкретный метод является новаторским, отмечают в JPCERT.

Основным преимуществом MalDoc в PDF для злоумышленников является возможность избежать обнаружения традиционными инструментами анализа PDF, такими как «pdfid», или другими инструментами автоматического анализа, которые проверяют только внешний слой файла, который является законной структурой PDF.

Тем не менее, JPCERT утверждает, что другие инструменты анализа, такие как «OLEVBA», по-прежнему могут обнаруживать вредоносный контент, скрывающийся внутри полиглота, поэтому многоуровневая защита и богатые наборы средств обнаружения должны быть эффективны против этой угрозы.

Агентство по кибербезопасности также поделилось правилом Yara, которое помогает исследователям идентифицировать файлы с помощью метода «MalDoc в PDF».

Правило проверяет, начинается ли файл с подписи PDF и содержит ли шаблоны, указывающие на документ Word, книгу Excel или файл MHT, что соответствует методу уклонения JPCERT, которое используется хакерами.

Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме