Categorie
Sicurezza Informatica

MalDoc in PDF, la nuova tecnica elude il rilevamento

Tempo di lettura: 2 minuti. Il rapporto del CERT Giapponese

Tempo di lettura: 2 minuti.

Il JPCERT (Team Giapponese di Risposta alle Emergenze Informatiche) ha condiviso nel suo ultimo rapporto i dettagli circa un nuovo attacco denominato “MalDoc in PDF” rilevato nel luglio 2023 e capace di eludere il rilevamento incorporando semplicemente file Word dannosi in file PDF.

La nuova tecnica impiegata

Sebbene sfruttare file poliglotta per i criminali informstici non sia una novità, la tecnica in questione sarebbe nuova secondo il JPCERT. Il documento PDF contiene un documento Word con una macro VBS per scaricare e installare un file malware MSI (il CERT giapponese non ha condiviso alcun dettaglio sul tipo di malware installato) se aperto come file .doc in Microsoft Office. 

Fonte JPCERT

L’aggressore aggiunge un file mht creato in Word e con macro allegata dopo l’oggetto file PDF e lo salva. Il file creato viene riconosciuto come file PDF nella firma del file, ma può essere aperto anche in Word“, spiega l’analista malware del JPCERT Yuma Masubuchi che ha rilasciato un video su YouTube per dimostrare il funzionamento dell’attacco “MalDoc in PDF” sui sistemi Windows.

FONTE JPCERT

Prestare attenzione ai risultati di rilevamento

Gli attaccanti con questa tecnica sfruttano la capacità di eludere il rilevamento da parte dei tradizionali strumenti di analisi PDF come “pdfid” che si limitano ad esaminare in questo caso solo la struttura esterna PDF legittima. Tuttavia, Masubuchi precisa che invece strumenti di analisi simili a “OLEVBA” possono ancora rilevare il contenuto dannoso nascosto ed essere efficaci contro questa minaccia e conclude:

la tecnica descritta non ignora l’impostazione che disabilita l’esecuzione automatica nella macro di Word. Tuttavia, poiché i file vengono riconosciuti come PDF, è necessario prestare attenzione ai risultati del rilevamento se si esegue un’analisi automatizzata del malware“.

L’agenzia per la sicurezza informatica ha infine condiviso una regola Yara per identificare i file che utilizzando la tecnica “MalDoc in PDF” ed ulteriori IoC.

Al momento della stesura di questo articolo solo 20 su 59 security vendors rilevano il file campionato come malevolo.

Di Salvatore Lombardo

Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. "Education improves Awareness" è il suo motto.

Pronto a supportare l'informazione libera?

Iscriviti alla nostra newsletter // Seguici gratuitamente su Google News
Exit mobile version