‘MalDoc in PDF’ มัลแวร์ที่ซ่อนเอกสาร Word ที่เป็นอันตรายในไฟล์ PDF

ทีมตอบสนองเหตุภัยคุกคามทางคอมพิวเตอร์ของญี่ปุ่น (JPCERT) แชร์รูปแบบการโจมตี 'MalDoc in PDF' รูปแบบใหม่ที่ตรวจพบในเดือนกรกฎาคม 2023 ซึ่งสามารถหลีกเลี่ยงการตรวจจับได้โดยการฝังไฟล์ Word ที่เป็นอันตรายลงในไฟล์ PDF

ไฟล์ตัวอย่างที่ถูกวิเคราะห์โดย JPCERT เป็นไฟล์ polyglot ที่เครื่องมือการสแกนส่วนใหญ่รู้จักในรูปแบบ PDF แต่แอปพลิเคชัน Office ก็สามารถเปิดเป็นเอกสาร Word ปกติ (.doc) ได้

Polyglots เป็นไฟล์ที่มีรูปแบบไฟล์ที่แตกต่างกันสองรูปแบบ ซึ่งสามารถตีความ และดำเนินการเป็นไฟล์ได้มากกว่าหนึ่งประเภท ขึ้นอยู่กับแอปพลิเคชันที่อ่าน/เปิดไฟล์เหล่านั้น

ตัวอย่างเช่น เอกสารที่เป็นอันตรายในแคมเปญนี้เป็นการผสมระหว่างไฟล์ PDF และ Word documents ซึ่งสามารถเปิดได้ในทั้งรูปแบบไฟล์ทั้งสอง

โดยทั่วไปแล้วผู้โจมตีใช้ polyglots เพื่อหลบเลี่ยงการตรวจจับ หรือทำให้เครื่องมือวิเคราะไม่สามารถทำงานได้อย่างเต็มประสิทธิภาพ เนื่องจากไฟล์เหล่านี้อาจดูเหมือนไม่มีความอันตรายในรูปแบบหนึ่ง ในขณะที่ซ่อน code ที่เป็นอันตรายในอีกรูปแบบหนึ่งได้

ในกรณีนี้ PDF document ประกอบด้วย Word document ที่มี VBS macro เพื่อดาวน์โหลด และติดตั้งไฟล์มัลแวร์ MSI หากไฟล์ถูกเปิดในรูปแบบ .doc ใน Microsoft Office อย่างไรก็ตาม Japan CERT ไม่ได้เปิดเผยรายละเอียดเกี่ยวกับประเภทของมัลแวร์ที่ถูกติดตั้ง

อย่างไรก็ตามเป็นที่น่าสังเกตว่า MalDoc ในรูปแบบ PDF ไม่สามารถ bypass การตั้งค่าความปลอดภัยที่ปิดการทำงานอัตโนมัติของ macros บน Microsoft Office ได้ ดังนั้นมาตรการนี้ของ Microsoft Office ยังถือว่าเพียงพอในการป้องกันการโจมตี ซึ่งหาก MalDoc จะทำงานได้ ผู้ใช้งานจำเป็นต้องปิดการตั้งค่าความปลอดภัยด้วยตนเองโดยการคลิกที่ปุ่มที่เกี่ยวข้อง หรือยกเลิกการบล็อกไฟล์

JPCERT ได้เผยแพร่วิดีโอต่อไปนี้บน YouTube เพื่อสาธิตว่า MalDoc ในรูปแบบไฟล์ PDF ทำงานบน Windows อย่างไร

ตัวอย่าง MalDoc ในรูปแบบ PDF : hxxps://www[.]youtube.