Le campagne basate su email e veicolanti un malware occultato in un allegato coerente con il messaggio sono la consuetudine; ci si aspetta anche che l’allegato sia un documento Office (Word o Excel), visto che quasi la metà degli attacchi in questa prima parte del 2022 ha preso questa forma. Niente di più sorprendente dunque quello di rivedere un attacco in natura basato su un trasporto di documento PDF, cosa invece rilevata di recente dai ricercatori di sicurezza. 

La vittima viene ingannata dall’urgenza di un pagamento di una rimessa diretta le cui informazioni dovrebbero essere incluse nell’allegato PDF. 

Naturalmente il file PDF è solo l’esca: in effetti questo non è il payload definitivo, bensì sfrutta Microsoft Word per trasportare (in un secondo momento rispetto alla prima infezione) il carico utile effettivo: il malware orientato al furto di informazioni Snake Keylogger. Questo è un software sviluppato in .NET già visto nel 2020 che può mettere le mani sulle credenziali salvate, le sequenze di tasti digitate dalla vittima (da cui il nome keylogger), gli screenshot dello schermo del dispositivo vittima e naturalmente gli appunti (i dati trasferiti mediante l’utilizzatissima procedura del “copia e incolla”). 

Il malware viene trasportato attraverso una sequenza di aperture di documenti (a partire dal PDF) che ne maschera gli intenti di fondo; nel PDF è presente un documento Word di tipo .docx incapsulato e denominato appositamente con una frase (“has been verified. However PDF, Jpeg, xlsx, .docx”) creata in modo tale da divenire parte del tipico messaggio di avviso che Adobe Reader utilizza nell’apertura di un documento (“The file ‘has been verified. However PDF, Jpeg, xlsx, .docs’ may contain programs, macros, or viruses that could potentially harm your computer.). Questo induce la vittima a lasciare che il file si apra (“has been verified”, il file è stato verificato è certamente la clausola rassicurante che forza le azioni della vittima). 

A questo punto, se la visualizzazione protetta è disabilitata, Word scarica un file di tipo RTF (Rich Text Format) da un server Web: questo in realtà è a sua volta un Office Open XML contenente un URL connesso a dominio valido (“document.xml.rels”): mediante questo si scarica un effettivo RTF chiamato “f_document_shp.doc” contenente oggetti OLE che sfruttano la vecchia vulnerabilità CVE-2017-11882, una vulnerabilità di tipo RCE (Remote Code Execution) per Microsoft Office (in particolare per l’Editore delle Equazioni). 

La cosa ancora più sorprendente è che tale vulnerabilità, riparata da Microsoft più di quattro anni fa, era rimasta attiva nei precedenti 17 anni: stiamo parlando quindi di una vulnerabilità che a oggi complessivamente ha più di 20 anni: visto quello abbiamo detto diverse volte, a questo punto non c’è più sorpresa a constatare che gli agenti di minaccia basino ancora i loro attacchi sull’efficacia di questa vulnerabilità. 

Non possiamo che definire dunque “immortale” quel vettore di attacco che abbia una sua capacità operativa: questo è parere evidentemente degli agenti di minaccia, e per una volta non possiamo essere che d’accordo con loro.

Tweet