據(jù)Bleeping Computer消息，安全研究人員發(fā)現(xiàn)了一種新型的惡意軟件傳播活動，攻擊者通過使用PDF附件夾帶惡意的Word文檔，從而使用戶感染惡意軟件。

類似的惡意軟件傳播方式在以往可不多見。在大多數(shù)人的印象中，電子郵件是夾帶加載了惡意軟件宏代碼的DOCX或XLS附件的絕佳渠道，這也是釣魚郵件泛濫的原因所在。隨著人們對電子釣魚郵件的警惕性越來越高，以此對打開惡意Microsoft Office附件的了解越來越多，攻擊者開始轉(zhuǎn)向其他的方法來部署惡意軟件并逃避檢測。

其中，使用PDF來傳播惡意軟件就是攻擊者選擇的方向之一。在HP Wolf Security最新發(fā)布的報(bào)告中，詳細(xì)說明了PDF是如何被用作帶有惡意宏的文檔的傳輸工具，這些宏在受害者的機(jī)器上下載和安裝信息竊取惡意軟件。

在 PDF 中嵌入 Word

在HP Wolf Security發(fā)布的報(bào)告中，攻擊者向受害人發(fā)送電子郵件，附件則是被命名為“匯款發(fā)票”的PDF文件，而電子郵件的正文則是向收件人付款的模糊話術(shù)。

當(dāng)用戶打開PDF文件時，Adobe Reader會提示用戶打開其中包含的DOCX文件。顯然，這樣的操作很不尋常，讓人感到迷之疑惑。因此攻擊者巧妙地將嵌入的Word文檔命名為“已驗(yàn)證”，那么彈出的“打開文件”提示聲明就會變成文件是“已驗(yàn)證的”。

此時，出于對Adobe Reader或其他PDF閱讀器的信任，很多用戶就會被誘導(dǎo)下載并打開該惡意文件，惡意軟件也就進(jìn)入了受害者的電腦中。

請求操作批準(zhǔn)的對話框 (HP)

雖然專業(yè)的網(wǎng)絡(luò)安全研究人員或惡意軟件分析師可以使用解析器和腳本檢查PDF中的嵌入文件，但是對于普通用戶來說，收到此類PDF文件卻很難解決其中的問題，往往是在不知情的情況下中招。

因此，許多人可能會在Microsoft Word中打開DOCX文件，如果啟用了宏，將從遠(yuǎn)程資源下載RTF(富文本格式)文件并打開它。

獲取 RTF 文件 (HP)的 GET 請求

值得一提的是，攻擊者通過編輯好的命令讓RTF自動下載，嵌入在 Word 文件中以及硬編碼的URL“vtaurl[.]com/IHytw”，這是托管有效負(fù)載的位置。

利用舊的漏洞

RTF文檔名為“f_document_shp.doc”，包含格式錯誤的OLE對象，很可能會逃避系統(tǒng)的檢測分析。經(jīng)過一些有針對性的重建后，HP的安全研究人員發(fā)現(xiàn)它試圖利用舊的Microsoft Equation Editor漏洞來運(yùn)行任意代碼。

呈現(xiàn)有效載荷的解密 shellcode (HP)

部署的shellcode是利用了CVE-2017-11882漏洞，這是方程式編輯器中的一個遠(yuǎn)程代碼執(zhí)行錯誤，已于2017年11月修復(fù)，但是目前依舊還在被利用。此前，該漏洞披露后就引起黑客的廣泛關(guān)注，其緩慢的修補(bǔ)過程使其成為2018 年被利用最多的漏洞之一。

通過利用 CVE-2017-11882，RTF中的shellcode下載并運(yùn)行Snake Keylogger，這是一個模塊化的信息竊取程序，具有強(qiáng)大的持久性、防御規(guī)避、憑據(jù)訪問、數(shù)據(jù)收集和數(shù)據(jù)泄露功能。

參考來源：https://www.bleepingcomputer.com/news/security/pdf-smuggles-microsoft-word-doc-to-drop-snake-keylogger-malware/