ทีมตอบสนองเหตุภัยคุกคามทางคอมพิวเตอร์ของญี่ปุ่น (JPCERT) แชร์รูปแบบการโจมตี 'MalDoc in PDF' รูปแบบใหม่ที่ตรวจพบในเดือนกรกฎาคม 2023 ซึ่งสามารถหลีกเลี่ยงการตรวจจับได้โดยการฝังไฟล์ Word ที่เป็นอันตรายลงในไฟล์ PDF
ไฟล์ตัวอย่างที่ถูกวิเคราะห์โดย JPCERT เป็นไฟล์ polyglot ที่เครื่องมือการสแกนส่วนใหญ่รู้จักในรูปแบบ PDF แต่แอปพลิเคชัน Office ก็สามารถเปิดเป็นเอกสาร Word ปกติ (.doc) ได้
Polyglots เป็นไฟล์ที่มีรูปแบบไฟล์ที่แตกต่างกันสองรูปแบบ ซึ่งสามารถตีความ และดำเนินการเป็นไฟล์ได้มากกว่าหนึ่งประเภท ขึ้นอยู่กับแอปพลิเคชันที่อ่าน/เปิดไฟล์เหล่านั้น
ตัวอย่างเช่น เอกสารที่เป็นอันตรายในแคมเปญนี้เป็นการผสมระหว่างไฟล์ PDF และ Word documents ซึ่งสามารถเปิดได้ในทั้งรูปแบบไฟล์ทั้งสอง
โดยทั่วไปแล้วผู้โจมตีใช้ polyglots เพื่อหลบเลี่ยงการตรวจจับ หรือทำให้เครื่องมือวิเคราะไม่สามารถทำงานได้อย่างเต็มประสิทธิภาพ เนื่องจากไฟล์เหล่านี้อาจดูเหมือนไม่มีความอันตรายในรูปแบบหนึ่ง ในขณะที่ซ่อน code ที่เป็นอันตรายในอีกรูปแบบหนึ่งได้
ในกรณีนี้ PDF document ประกอบด้วย Word document ที่มี VBS macro เพื่อดาวน์โหลด และติดตั้งไฟล์มัลแวร์ MSI หากไฟล์ถูกเปิดในรูปแบบ .doc ใน Microsoft Office อย่างไรก็ตาม Japan CERT ไม่ได้เปิดเผยรายละเอียดเกี่ยวกับประเภทของมัลแวร์ที่ถูกติดตั้ง
อย่างไรก็ตามเป็นที่น่าสังเกตว่า MalDoc ในรูปแบบ PDF ไม่สามารถ bypass การตั้งค่าความปลอดภัยที่ปิดการทำงานอัตโนมัติของ macros บน Microsoft Office ได้ ดังนั้นมาตรการนี้ของ Microsoft Office ยังถือว่าเพียงพอในการป้องกันการโจมตี ซึ่งหาก MalDoc จะทำงานได้ ผู้ใช้งานจำเป็นต้องปิดการตั้งค่าความปลอดภัยด้วยตนเองโดยการคลิกที่ปุ่มที่เกี่ยวข้อง หรือยกเลิกการบล็อกไฟล์
JPCERT ได้เผยแพร่วิดีโอต่อไปนี้บน YouTube เพื่อสาธิตว่า MalDoc ในรูปแบบไฟล์ PDF ทำงานบน Windows อย่างไร
ตัวอย่าง MalDoc ในรูปแบบ PDF : hxxps://www[.]youtube.