I ricercatori di sicurezza informatica di HP Wolf Security hanno rilevato una nuova campagna di criminalità informatica che sfrutta i file PDF nel tentativo di distribuire il keylogger Snake su endpoint vulnerabili.
Secondo i ricercatori, gli attori della minaccia avrebbero prima inviato un'e-mail con oggetto "Fattura di rimessa", nel tentativo di indurre le vittime a credere che sarebbero state pagate per qualcosa.
L'e-mail conterrebbe un file PDF come allegato, che può assicurare alla vittima che l'e-mail è legittima, poiché i file Word o Excel sono spesso sospetti.
Abuso di un difetto noto
Tuttavia, un documento Word, intitolato "è stato verificato", è incorporato nel PDF. Quando la vittima apre il file allegato, riceve un messaggio che chiede se aprire o meno il secondo file. Il messaggio dice "Il file 'è stato verificato'. Tuttavia, i file PDF, jpeg, xlsx, docx possono contenere programmi, macro o virus."
Ciò potrebbe indurre la vittima a pensare che il lettore PDF abbia scansionato il file ed è pronto per l'uso.
Il file Word, come ci si potrebbe aspettare, viene fornito con una macro che, se abilitata, scaricherà un file RTF (Rich Text Format) da una posizione remota e lo eseguirà. Il file tenterebbe quindi di scaricare Snake Keylogger, un malware descritto da BleepingComputer come un "ladro di informazioni modulare con potente persistenza, evasione della difesa, accesso alle credenziali, dati ed esfiltrazione di dati".
Gli endpoint di destinazione devono sempre essere vulnerabili a un difetto specifico, se si vuole che l'attacco abbia successo. I ricercatori hanno scoperto che gli aggressori stavano tentando di sfruttare CVE-2017-11882, un bug di esecuzione di codice remoto nell'editor di equazioni.
Il difetto è stato corretto a novembre 2017, ma non tutti i gestori di dispositivi mantengono aggiornati i loro sistemi operativi. Apparentemente, questa è stata una delle vulnerabilità più popolari da sfruttare nel 2018, poiché è stato relativamente lento per le organizzazioni e i consumatori risolverlo.
Via: BleepingComputer