HP Wolf Security’den siber güvenlik araştırmacıları, Snake Keylogger’ı savunmasız uç noktalara dağıtmak için PDF dosyalarından yararlanan yeni bir siber suç kampanyası keşfetti.
Araştırmacılara göre, tehdit aktörleri önce “Havale Faturası” konu satırını içeren bir e-posta göndererek kurbanları bir şey için ödeme alacaklarını düşünmeleri için kandırmaya çalışacaklar.
Word veya Excel dosyaları genellikle şüpheli olduğundan, e-postanın ekli bir PDF dosyası taşıması muhtemeldir ve kurbana e-postanın meşruiyeti konusunda güvence verebilir.
Bilinen bir kusuru kötüye kullanmak
Ancak, “doğrulandı” başlıklı bir Word belgesi PDF’ye gömülü olarak gelir. Kurban eki açtığında, ikinci dosyayı açıp açmayacağını soran bir uyarıyla karşılaşıyor. Mesajda “Dosya ‘doğrulandı’ yazıyor ancak PDF, jpeg, xlsx, docx dosyaları programlar, makrolar veya virüsler içerebilir.”
Bu, kurbanı, PDF okuyucusunun dosyayı taradığına ve gitmenin iyi olduğuna inandırabilir.
Word dosyası, beklendiği gibi, etkinleştirilirse, uzak bir konumdan zengin metin biçimi (RTF) dosyası indirecek ve çalıştıracak bir makro ile birlikte gelir. Dosya daha sonra tarafından açıklanan kötü amaçlı yazılım olan Snake Keylogger’ı indirmeyi dener. BleeBilgisayar “Güçlü kalıcılık, savunmadan kaçınma, kimlik bilgileri erişimi, veri toplama ve veri hırsızlığı yeteneklerine sahip modüler bir bilgi hırsızı” olarak.
Saldırı başarılı olacaksa, hedef uç noktaların belirli bir kusura karşı savunmasız olması gerekir. Araştırmacılar, saldırganların Denklem Düzenleyicisi’nde bir uzaktan kod yürütme hatası olan CVE-2017-11882’den yararlanmaya çalıştığını keşfetti.
Kusur Kasım 2017’de düzeltildi, ancak tüm cihaz yöneticileri işletim sistemlerini güncel tutmuyor. İddiaya göre, kuruluşların ve tüketicilerin yamamakta nispeten yavaş olması nedeniyle 2018’de istismar edilen en popüler güvenlik açıklarından biriydi.
Aracılığıyla: BleeBilgisayar
