Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Nowa technika ataku wykorzystywana w dziczy. Złośliwy plik MS Word ukryty w PDFie

02 września 2023, 10:10 | W biegu | 1 komentarz

JPCERT opisał nowy atak, który zawiera sprytną metodę omijania mechanizmów antymalware. Otóż do ofiary dostarczany jest plik, który wygląda jak PDF. Wykrywany jest też jako PDF przez rozmaite narzędzia. Za końcem PDFa doklejony jest jednak plik MHT. Ten ostatni to z kolei format używany przez MS Worda, tłumaczony czasem przez Microsoft jako „jednoplikowa strona internetowa” (czyli HTML + dodatki w jednym pliku). Co ważne plik .mht może zawierać makra wordowe, a stąd już prosta droga do dystrybucji malware.

Plik wygląda tak (zwróćmy uwagę na jego początek):

Po co to całe zamieszanie? Atak wygląda w następujący sposób:

  1. Do ofiary dystybuowany jest plik z rozszerzeniem .doc oraz treścią jak powyżej
  2. Jeśli ofiara otworzy plik, to uruchomi się MS Word, który radośnie uruchomi plik .mht
  3. Teraz wystarczy, że ofiara kliknie przycisk 'Włącz zawartość’ (tj. uruchomi makro) i jest pozamiatane.
  4. Z kolei jeśli taki plik trafi do mechanizmów antymalware / antywirusa – jest szansa, że zinterpretują go jako pdf, w którym nie ma nic złośliwego.

Ilustracja problemu na filmiku poniżej:

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. adam

    1. Po jaką cholere word pomija zawartość pliku aż znajdzie obsługiwane rozszerzenie binarne?
    2. Po drugą cholere word akceptuje zawartośc .mht w pliku .doc?

    3. to jest chyba secret feature, a nie bug

    Odpowiedz

Odpowiedz