Siber güvenlik araştırmacıları, kötü amaçlı bir Microsoft Word dosyasının PDF dosyasına yerleştirilmesini içeren yeni bir antivirüs kaçırma tekniğine dikkat çekti.
Sinsi yöntem olarak adlandırılan PDF’de MalDoc JPCERT/CC tarafından Temmuz 2023’te vahşi bir saldırıda kullanıldığı söyleniyor.
Araştırmacılar Yuma Masubuchi ve Kota Kino, “PDF’de MalDoc ile oluşturulan bir dosya, sihirli sayılara ve PDF dosya yapısına sahip olmasına rağmen Word’de açılabilir.” söz konusu. “Dosyanın yapılandırılmış bir makrosu varsa, onu Word’de açtığınızda VBS çalışır ve kötü amaçlı davranışlar gerçekleştirir.”
Bu tür özel hazırlanmış dosyalara çok dilli denir çünkü bunlar birden fazla farklı dosya türünün (bu durumda hem PDF hem de Word’ün (DOC) meşru bir biçimidir).
Bu, Word’de oluşturulmuş ve PDF dosya nesnesinden sonra bir makro eklenmiş bir MHT dosyasının eklenmesini gerektirir. Sonuçta, Word uygulamasında da açılabilen geçerli bir PDF dosyası elde edilir.
Farklı şekilde koy; PDF belgesi, Microsoft Office’te .DOC dosyası olarak açıldığında bir MSI kötü amaçlı yazılım dosyasını indirip yüklemek için tasarlanmış VBS makrosunu içeren bir Word belgesini kendi içine katıştırır. Hangi kötü amaçlı yazılımın bu şekilde dağıtıldığı hemen belli değil.
Güvenlik araştırmacısı Will Dormann, “İnternetten veya e-postadan bir belge indirildiğinde, bir MotW taşıyacaktır” söz konusu. “Bu nedenle, kullanıcının Korumalı Görünümden çıkmak için ‘Düzenlemeyi Etkinleştir’i tıklaması gerekecek. Hangi noktada öğrenecekler? [sic] makrolar devre dışı bırakıldı.”
PDF’de MalDoc’tan yararlanan gerçek dünya saldırıları bir aydan biraz daha uzun bir süre önce gözlemlenmiş olsa da, bunun denendiğine dair kanıtlar mevcut (“DummymhtmldocmacroDoc.doc“) Mayıs gibi erken bir zamanda Dormann şunu vurguladı.
Bu gelişme, qishing adı verilen bir teknikle kötü amaçlı URL’leri yaymak için QR kodlarını kullanan kimlik avı kampanyalarında ani bir artış yaşandığı bir dönemde gerçekleşti.
Trustwave, “Bu tekniği kullanarak gözlemlediğimiz örnekler, öncelikle çok faktörlü kimlik doğrulama (MFA) bildirimleri olarak gizleniyor ve bu bildirimler, kurbanlarını erişim kazanmak için cep telefonlarıyla QR kodunu taramaya teşvik ediyor.” söz konusu geçen hafta.
“Ancak QR kodu, hedefin istediği konuma gitmek yerine onları tehdit aktörünün kimlik avı sayfasına yönlendiriyor.”
Cofense, kullanıcıların Microsoft kimlik bilgilerini hedefleyen böyle bir kampanyada Mayıs 2023’ten bu yana %2.400’den fazla artışa tanık oldu. kayıt edilmiş Ağustos ayında, “bir mobil cihazda QR kodunu taramanın kullanıcıyı kurumsal ortamın korumalarının dışına çıkardığına” dikkat çekti.
LAPSUS$ ve Muddled Libra ile ilişkili saldırılarda da görüldüğü gibi sosyal mühendislik saldırıları, tehdit aktörlerinin hedef sistemlere yetkisiz erişim sağlamak için kimlik avı ve kimlik avı taktiklerini kullanması nedeniyle daha ayrıntılı ve karmaşık hale geliyor.
Sophos’un vurguladığı bir örnekte, telefon ve e-postanın birleşiminden oluşan bir tehdit, İsviçre merkezli bir kuruluşun bir çalışanına karşı karmaşık bir saldırı zinciri başlatmaya teşvik ediyor.
Algıla, Yanıtla, Koru: Eksiksiz SaaS Güvenliği için ITDR ve SSPM
Kimlik Tehdit Algılama ve Yanıtının (ITDR) SSPM’nin yardımıyla tehditleri nasıl tanımladığını ve azalttığını keşfedin. Kurumsal SaaS uygulamalarınızın güvenliğini nasıl sağlayacağınızı ve ihlal sonrasında bile verilerinizi nasıl koruyacağınızı öğrenin.
“Sesi orta yaşlı bir adama benzeyen arayan kişi, çalışana, şirket yerlerinden birine acil bir paket gönderen teslimat şoförü olduğunu, ancak paketi alacak kimsenin orada olmadığını söyledi ve kendisi de bir teslimat ücreti istedi. Sophos araştırmacısı Andrew Brandt, yeni teslimat adresinin çalışanın ofisinde olduğunu söylüyor. söz konusu.
“Paketi yeniden teslim etmek için çalışanın, nakliye şirketinin e-postayla göndereceği kodu yüksek sesle okuması gerekecek.”
Sözde nakliye şirketinden gelen e-posta, kurbanı, kodu içeren PDF eki gibi görünen bir şeyi açmaya ikna etti, ancak gerçekte bunun, “tıpkı bir Outlook mesajı gibi” olacak şekilde tasarlanmış, mesaj gövdesine yerleştirilmiş statik bir resim olduğu ortaya çıktı. e-posta eki.”
Sahte resimli spam saldırısı, sonuçta alıcıyı bir yönlendirme zinciri yoluyla sahte bir web sitesine götürdü ve bu da, başlatıldığında bir kanal görevi gören bir paket hizmeti (“Evren Paket Servisi”) gibi görünen yanıltıcı bir yürütülebilir dosyanın düşmesine neden oldu. uzak bir TOR gizli hizmetine veri ve işaretçi çalmak için ek PowerShell komut dosyaları sunmak.
Gelişmeler aynı zamanda güvenlik kaygılarının dile getirilmesiyle de ortaya çıkıyor. isim çarpışmaları Etki Alanı Adı Sisteminde (DNS) hassas verileri sızdırmak için kullanılabilir.
“İsim çakışmaları sorun yaratabilecek tek durum değildir. [top-level domain] tuhaf davranmak,” Cisco Talos söz konusu yakın zamanda yazdığım bir yazıda. “Bazıları, süresi dolmuş veya hiç var olmamış isimler sunulduğunda düzgün yanıt vermiyor.”
“Bu TLD’lerde, kayıtlı olmayan ve süresi dolmuş alan adları hala IP adreslerine çözümleniyor. Hatta bu TLD’lerden bazıları, MX kayıtlarını yayınlıyor ve söz konusu adlar için e-postalar topluyor.”
