นักวิเคราะห์ภัยคุกคามได้ค้นพบแคมเปญเกี่ยวกับการกระจายมัลแวร์รูปแบบใหม่ โดยใช้ไฟล์แนบที่เป็น PDF แล้วฝังการเรียกใช้งานไฟล์เอกสาร Microsoft Word ที่เป็นอันตรายไว้ภายใน
ในรายงานของนักวิจัยจาก HP Wolf Security ได้ระบุว่าไฟล์ PDF ได้ถูกใช้เป็นเครื่องมือในการส่งเอกสารที่มี Macro ที่เป็นอันตราย ที่จะใช้ในการดาวน์โหลด และติดตั้ง Malware ขโมยข้อมูลของเครื่องเหยื่อโดยการฝังเอกสาร Microsoft Word ไว้ในไฟล์ PDFs
โดยในแคมเปญนี้ทางผู้โจมตีจะมีการส่งอีเมล์ที่มีการแนบไฟล์ PDF ที่มีชื่อว่า “Remittance Invoice” ซึ่งรายละเอียดภายในอีเมลระบุว่าจะมีการจ่ายเงินให้กับผู้รับ และเมื่อเปิดไฟล์ PDF ขึ้นมาก็จะมีการแจ้งให้ผู้ใช้เปิดไฟล์ DOCX ที่อยู่ภายใน ซึ่งอาจทำให้เหยื่อหลงเชื่อ และยอมอนุญาตให้เปิดไฟล์ขึ้นมาได้
ผู้โจมตียังมีการตั้งชื่อไฟล์ Word ว่า “The file has been verified.” ที่จะทำให้เหยื่อเชื่อว่าไฟล์ได้ถูก Adobe ตรวจสอบแล้ว และจะสามารถเปิดไฟล์ได้อย่างปลอดภัย
ซึ่งผู้ใช้ทั่วไปที่ได้รับอีเมลลักษณะนี้อาจจะไม่ได้ระมัดระวัง หรือตรวจสอบการแนบไฟล์ที่เป็นอันตรายลักษณะนี้มาภายในไฟล์ PDF หรืออาจจะไม่รู้ด้วยซ้ำว่าว่าจะตรวจสอบได้อย่างไร
ด้วยเหตุนี้จึงทำให้ผู้ใช้งานหลายคนอาจเปิดไฟล์ DOCX ใน Microsoft WORD และเมื่อเปิดใช้งาน Macro ก็จะมีการดาวน์โหลดไฟล์ RTF (rich text format) ที่ชื่อว่า “f_document_shp.doc” จาก remote resource ที่ฝังอยู่ในไฟล์ Word ในรูปแบบ hardcoded URL “vtaurl[.]com/IHytw” ซึ่งจะเป็นโฮสต์ของ Payload จากนั้นก็จะทำการเปิดไฟล์ขึ้นมา
ในไฟล์ “f_document_shp.doc” นั้นจะมี OLE object ที่ทำให้สามารถหลบการวิเคราะห์ได้ โดยนักวิจัยจาก HP พบว่ามีการพยายามใช้ช่องโหว่ของ Microsoft Equation Editor แบบเก่าเพื่อเรียกใช้โค้ดอันตรายตามที่ผู้โจมตีต้องการได้
Shell code exploits ที่ถูกติดตั้งจะใช้ประโยชน์จากช่องโหว่ CVE-2017-11882 ที่เป็นช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลใน Equation Editor ที่มีการแก้ไขไปแล้วในเดือนพฤศจิกายน 2560 แต่ก็ยังถูกใช้ในการโจมตีเป็นจำนวนมาก และช่องโหว่ดังกล่าวได้รับความสนใจจากกลุ่มแฮ็กเกอร์เมื่อมีการเผยแพร่ออกมา โดยการใช้ประโยชน์จากการที่ Patch ที่ออกมาช้า จนทำให้เกิดเป็นช่องโหว่ที่ถูกใช้ในการโจมตีมากที่สุดในปี 2561
สรุปได้ว่าด้วยการใช้ประโยชน์จากช่องโหว่ CVE-2017-11882 นั้นทำให้ Shellcode ใน RTF สามารถดาวน์โหลด และเรียกใช้ Snake Keylogger ที่เป็นเครื่องมือที่ผู้โจมตีใช้ในการขโมยข้อมูล และยังมีความสามารถในการหลบการตรวจสอบ ทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลประจำตัว รวบรวมข้อมูลของระบบ แลการขโมยข้อมูลออกไป
ที่มา: bleepingcomputer
You must be logged in to post a comment.