Cybersicherheitsforscher von HP Wolf Security haben eine neue Cyberkriminalitätskampagne entdeckt, die PDF-Dateien ausnutzt, um den Snake-Keylogger an anfällige Endpunkte zu verteilen.
Den Forschern zufolge würden die Bedrohungsakteure zunächst eine E-Mail mit der Betreffzeile „Überweisungsrechnung“ versenden, um den Opfern vorzutäuschen, dass sie für etwas bezahlt würden.
Die E-Mail würde eine PDF-Datei als Anhang enthalten, die dem Opfer die Gewissheit geben kann, dass die E-Mail legitim ist, da Word- oder Excel-Dateien häufig verdächtig sind.
Missbrauch eines bekannten Mangels
Allerdings ist im PDF ein Word-Dokument mit dem Titel „wurde überprüft“ eingebettet. Wenn das Opfer die angehängte Datei öffnet, erhält es eine Nachricht mit der Frage, ob es die zweite Datei öffnen soll oder nicht. Die Meldung lautet „Die Datei wurde überprüft“. PDF-, JPEG-, XLSX- und DOCX-Dateien können jedoch Programme, Makros oder Viren enthalten.“
Dies könnte das Opfer zu der Annahme verleiten, dass sein PDF-Reader die Datei gescannt hat und einsatzbereit ist.
Die Word-Datei enthält erwartungsgemäß ein Makro, das bei Aktivierung eine RTF-Datei (Rich Text Format) von einem entfernten Speicherort herunterlädt und ausführt. Die Datei würde dann versuchen, Snake Keylogger herunterzuladen, eine Malware, die von BleepingComputer als „modularer Informationsdiebstahler mit leistungsstarker Persistenz, Abwehrumgehung, Zugang zu Anmeldeinformationen, Daten und Datenexfiltration“ beschrieben wird.
Damit der Angriff erfolgreich sein kann, müssen Zielendpunkte immer anfällig für eine bestimmte Schwachstelle sein. Die Forscher stellten fest, dass die Angreifer versuchten, CVE-2017-11882 auszunutzen, einen Fehler bei der Remotecodeausführung im Gleichungseditor.
Der Fehler wurde im November 2017 behoben, allerdings halten nicht alle Geräteadministratoren ihre Betriebssysteme auf dem neuesten Stand. Dies war offenbar eine der am häufigsten ausgenutzten Schwachstellen im Jahr 2018, da es für Unternehmen und Verbraucher relativ langsam war, sie zu beheben.
Via: BleepingComputer