Kampanye PDF Baru yang Menghadirkan Malware Canggih Melalui

  • Whatsapp
Kampanye PDF Baru yang Menghadirkan Malware Canggih Melalui
Kampanye PDF Baru yang Menghadirkan Malware Canggih Melalui
Waspadai Kampanye Baru yang Menghadirkan Malware Canggih Melalui File PDF

Baru-baru ini, pakar keamanan di HP Wolf Security telah menemukan cara baru untuk menggunakan lampiran PDF untuk mendistribusikan malware melalui internet. Dalam hal ini, dokumen Word berbahaya dikirimkan melalui lampiran PDF.

Agak jarang menerima lampiran email berbahaya dalam format PDF, karena semua email berbahaya paling sering dikirim sebagai file docx atau xls dengan makro pemuatan malware yang disematkan.

Pelaku ancaman beralih ke metode lain untuk menyebarkan makro berbahaya dan menghindari deteksi saat orang-orang menyadari bahaya membuka lampiran Microsoft Office yang berisi makro berbahaya.

Menanamkan Dokumen Word Berbahaya dalam PDF

Tampaknya badan email dari dokumen PDF yang datang melalui email dipenuhi dengan janji-janji yang tidak jelas. Sedangkan PDFnya bernama “Remittance Invoice”, dan berdasarkan judul dan isinya, tampaknya penerima akan menerima pembayaran.

File DOCX berisi konten yang sama dengan file PDF, oleh karena itu Adobe Reader meminta pengguna untuk membuka file DOCX, yang mungkin membingungkan korban.

Perintah Buka File di bawah ini memberikan informasi berikut karena pelaku ancaman bernama dokumen yang disematkan “telah diverifikasi”:-

Jika Anda menerima pesan ini, Anda mungkin merasa nyaman membuka file karena telah divalidasi secara sah oleh Adobe dan dapat dibuka dengan aman.

Meskipun analis malware menggunakan alat seperti parser dan skrip untuk memeriksa file yang disematkan dalam PDF, rata-rata pengguna bahkan tidak akan tahu bagaimana mulai melihatnya atau tahu harus mulai dari mana jika mereka menerima email rumit ini.

File DOCX biasanya dibuka di Microsoft Word oleh pengguna dalam banyak kasus daripada program yang berbeda. Jadi, jika makro diaktifkan, file DOCX di Microsoft Word akan diunduh ke format RTF dari sumber daya jarak jauh.

Di file Word, ada perintah yang disematkan dengan URL tempat payload berada, yang akan menghasilkan unduhan RTF.

Eksploitasi RCE Lama

Ditemukan bahwa objek OLE telah cacat dalam file RTF berjudul “f_document_shp.doc”, yang membuatnya sulit untuk dianalisis.

HP analis dapat menentukan bahwa ia mencoba untuk mengeksploitasi kerentanan di Microsoft Equation Editor untuk menjalankan kode arbitrer setelah beberapa rekonstruksi yang ditargetkan selesai.

Dalam hal ini, shellcode mengeksploitasi kerentanan berikut:-

Meskipun telah diperbaiki pada November 2017, Editor Persamaan masih menunjukkan kerentanan eksekusi kode jarak jauh yang harus segera ditangani jika tidak dihapus.

Anda dapat mengikuti kami di Linkedin, Indonesia, Facebook untuk keamanan siber harian dan pembaruan berita peretasan.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.