Sicurezza Informatica

MalDoc in PDF, la nuova tecnica elude il rilevamento

di Salvatore Lombardo
scritto da Salvatore Lombardo 0 commenti 2 minuti di lettura

Il JPCERT (Team Giapponese di Risposta alle Emergenze Informatiche) ha condiviso nel suo ultimo rapporto i dettagli circa un nuovo attacco denominato “MalDoc in PDF” rilevato nel luglio 2023 e capace di eludere il rilevamento incorporando semplicemente file Word dannosi in file PDF.

La nuova tecnica impiegata

Sebbene sfruttare file poliglotta per i criminali informstici non sia una novità, la tecnica in questione sarebbe nuova secondo il JPCERT. Il documento PDF contiene un documento Word con una macro VBS per scaricare e installare un file malware MSI (il CERT giapponese non ha condiviso alcun dettaglio sul tipo di malware installato) se aperto come file .doc in Microsoft Office. 

image 279
Fonte JPCERT

L’aggressore aggiunge un file mht creato in Word e con macro allegata dopo l’oggetto file PDF e lo salva. Il file creato viene riconosciuto come file PDF nella firma del file, ma può essere aperto anche in Word“, spiega l’analista malware del JPCERT Yuma Masubuchi che ha rilasciato un video su YouTube per dimostrare il funzionamento dell’attacco “MalDoc in PDF” sui sistemi Windows.

FONTE JPCERT

Prestare attenzione ai risultati di rilevamento

Gli attaccanti con questa tecnica sfruttano la capacità di eludere il rilevamento da parte dei tradizionali strumenti di analisi PDF come “pdfid” che si limitano ad esaminare in questo caso solo la struttura esterna PDF legittima. Tuttavia, Masubuchi precisa che invece strumenti di analisi simili a “OLEVBA” possono ancora rilevare il contenuto dannoso nascosto ed essere efficaci contro questa minaccia e conclude:

la tecnica descritta non ignora l’impostazione che disabilita l’esecuzione automatica nella macro di Word. Tuttavia, poiché i file vengono riconosciuti come PDF, è necessario prestare attenzione ai risultati del rilevamento se si esegue un’analisi automatizzata del malware“.

L’agenzia per la sicurezza informatica ha infine condiviso una regola Yara per identificare i file che utilizzando la tecnica “MalDoc in PDF” ed ulteriori IoC.

Al momento della stesura di questo articolo solo 20 su 59 security vendors rilevano il file campionato come malevolo.

image 279
MalDoc in PDF, la nuova tecnica elude il rilevamento 8
Potrebbe interessarti anche

Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. "Education improves Awareness" è il suo motto.

Articoli correlati

PumaBot: nuova botnet Go-based prende di mira i...

Ransomware su MathWorks, attacchi a Commvault e campagne...

Crittografia compromessa, pacchetti infetti e malware in memoria...

Maxi arresti: Europol, FBI e DOJ colpiscono Qakbot,...

Malware TikTok, router Cisco giù e truffe Ledger:...

UNC5221 sfrutta la falla CVE-2025-4428 in Ivanti EPMM...

MatriceDigitale.it – Copyright © 2024, Livio Varriale – Registrazione Tribunale di Napoli n° 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Facebook Twitter Instagram Youtube Rss Envelope