احذر من MalDoc في PDF: هجوم بوليغل جديد يسمح للمهاجمين بالتهرب من مضادات الفيروسات. حذر باحثو الأمن السيبراني من تقنية جديدة للتهرب من مضادات الفيروسات تتضمن تضمين ملف Microsoft Word ضار في ملف PDF.
يُطلق على هذا الأسلوب الماكر ، الذي يُدعى MalDoc في PDF بواسطة JPCERT/CC ، أنه تم استخدامه في هجوم في العالم الحقيقي في يوليو 2023.
“يمكن فتح ملف تم إنشاؤه باستخدام MalDoc في PDF في Word حتى لو كان يحتوي على أرقام سحرية وبنية ملفات PDF” ، قال الباحثان Yuma Masubuchi و Kota Kino. “إذا كان الملف يحتوي على ماكرو مُعدّ ، فعند فتحه في Word ، يتم تشغيل VBS ويقوم بأداء سلوكيات ضارة.”
ملفات بوليغلات.
تسمى هذه الملفات المصممة خصيصًا بوليغلات لأنها شكل شرعي من أنواع الملفات المتعددة المختلفة ، في هذه الحالة ، كل من PDF و Word (DOC).
وهذا ينطوي على إضافة ملف MHT تم إنشاؤه في Word مع ماكرو مُرفق بعد كائن ملف PDF. والنتيجة النهائية هي ملف PDF صالح يمكن أيضًا فتحه في تطبيق Word.
بمعنى آخر ؛ يشتمل مستند PDF على مستند Word يحتوي على ماكرو VBS مصمم لتنزيل وتثبيت ملف malware MSI إذا تم فتحه كملف .DOC في Microsoft Office. من غير الواضح على الفور ما هو malware الذي تم توزيعه بهذه الطريقة.
“عندما يتم تنزيل مستند من الإنترنت أو البريد الإلكتروني ، فإنه سيحمل MotW” ، قال الباحث الأمني Will Dormann. “وعليه ، سيتعين على المستخدم النقر فوق” تمكين التحرير “لإلغاء حماية View. عند هذه النقطة ، سوف يتعلمون [كذا] أن macros معطلة.”
في حين لوحظت هجمات العالم الحقيقي التي تستغل MalDoc في PDF منذ ما يزيد قليلاً عن شهر ، إلا أن هناك أدلة تشير إلى أنه كان يتم تجربته (“DummymhtmldocmacroDoc.doc”) في وقت مبكر من مايو ، أوضح دورمان.
يأتي هذا التطور في ظل تصاعد حملات التصيد الاحتيالي التي تستخدم رموز QR لنشر عناوين URL الضارة ، وهي تقنية تسمى qishing.
“العينات التي لاحظناها باستخدام هذه التقنية هي في الأساس متنكرة في شكل إشعارات مصادقة متعددة العوامل (MFA) ، والتي تجذب ضحاياها إلى مسح رمز QR باستخدام هواتفهم المحمولة للوصول” ، قالت Trustwave الأسبوع الماضي.
قراصنة كوريا الشمالية ينشرون حزم Python خبيثة جديدة في مستودع PyPI.
“ومع ذلك. بدلاً من الانتقال إلى الموقع المطلوب للهدف ، يؤدي رمز QR إلى صفحة التصيد الاحتيالي الخاصة بفاعل التهديد.”
حملات تستهدف credentials Microsoft.
شهدت إحدى هذه الحملات التي تستهدف credentials Microsoft للمستخدمين زيادة أكثر من 2400٪ منذ مايو 2023 ، لاحظ Cofense في أغسطس ، مشيرًا إلى أن “مسح رمز QR على جهاز محمول يضع المستخدم خارج حماية بيئة المؤسسة.”
تصبح هجمات الهندسة الاجتماعية. كما هو موضح في الهجمات المرتبطة بـ LAPSUS$ و Muddled Libra. أكثر تعقيدًا وتطورًا حيث يستفيد فاعلو التهديد من أساليب التصيد الاحتيالي vishng للحصول على وصول غير مصرح به إلى الأنظمة المستهدفة.
في إحدى الحالات التي أبرزتها Sophos. قام تهديد بدمج إغراءات الهاتف والبريد الإلكتروني لإطلاق سلسلة هجوم معقدة ضد موظف في منظمة مقرها سويسرا.
“قال الباحث في Sophos Andrew Brandt: “اتصل المتصل. الذي بدا وكأنه رجل في منتصف العمر. بالموظف وقال إنه سائق توصيل مع حزمة عاجلة موجهة إلى أحد مواقع الشركة. لكن لم يكن هناك أحد لتلقي الحزمة. وطلب عنوان تسليم جديد في مكتب الموظف”.
“من أجل إعادة توصيل الطرد. واصل. سيتعين على الموظف قراءة رمز سيرسله لشركة الشحن بالبريد الإلكتروني.”
أقنعت الرسالة الإلكترونية من شركة الشحن المزعومة الضحية بفتح ما بدا وكأنه مرفق PDF يحتوي على الرمز. ولكن في الواقع. كما اتضح أنه صورة ثابتة مضمنة في جسم الرسالة مصممة لتكون “تمامًا مثل رسالة Outlook مع مرفق بريد إلكتروني.”
في النهاية. أدى هجوم البريد العشوائي بصور مزيفة في النهاية إلى نقل المستلم إلى موقع ويب مزيف عبر سلسلة إعادة توجيه.
احذر من MalDoc في PDF: هجوم بوليغل جديد يسمح للمهاجمين بالتهرب من مضادات الفيروسات. كما تابعً على Facebook لقراءة المزيد من المحتوى الحصري الذي ننشره.