Snake键盘记录器能够通过恶意的PDF文件传播
发布时间:2022-06-17 20:29:27 所属栏目:安全 来源:互联网
导读:研究人员发现,虽然大多数恶意电子邮件活动都会使用Word文档来隐藏和传播恶意软件,但在最近发现的一个攻击活动中攻击者使用了一个恶意的PDF文件和一个很多年前的Office漏洞来传播Snake Keylogger恶意软件。 据周五发表的一篇博客文章称,惠普 Wolf安全公
|
研究人员发现,虽然大多数恶意电子邮件活动都会使用Word文档来隐藏和传播恶意软件,但在最近发现的一个攻击活动中攻击者使用了一个恶意的PDF文件和一个很多年前的Office漏洞来传播Snake Keylogger恶意软件。 据周五发表的一篇博客文章称,惠普 Wolf安全公司的研究人员发现了这一攻击活动,该活动使用了一个PDF附件文件来欺骗受害者,谎称文件内有关于汇款的信息。然而,它实际是加载了窃取信息的恶意软件,并且还使用了一些规避战术来避免被杀毒软件发现。 惠普的wolf安全团队研究员在这篇文章中写道,虽然现在Office格式仍然很流行,但这一攻击活动表明攻击者也在使用武器化的PDF文件来感染系统。 Schlapfer说,的确,在过去十年中,使用恶意电子邮件进行攻击的攻击者更喜欢将恶意软件打包成微软的Office文件格式,特别是Word和Excel。据研究人员称,仅在2022年第一季度,惠普的wolf安全公司所阻止的恶意软件中有近一半(45%)使用的是Office格式。 一个古老的漏洞被利用 当用户连接到这个URL就会导致网页重定向,然后下载一个名为 "f_document_shp.doc "的RTF文档。该文件包含了两个格式错误的OLE对象,里面包含了利用CVE-2017-11882的shellcode,研究人员说这是一个很久以前的远程代码执行漏洞(RCE),该漏洞出现在方程编辑器中。 方程编辑器是Office套件默认安装的应用程序,用于在微软Word文档中为对象链接和嵌入(OLE)项目插入以及编辑复杂的方程式。 然而,事实证明,攻击者在活动中利用的漏洞实际上是微软在四年多前--确切地说,是2017年打了补丁,但实际上在那之前已经存在了约17年,该漏洞距现在已经有22年的历史了。 作为此次攻击最重要的部分,研究人员发现了存储在他们检查的一个OLENativeStream结构中的shellcode。研究人员发现,该代码最终会解密一个密码文本,而这个密码文本原来就包含真正的shellcode,在执行后会启动一个名为fresh.exe的可执行文件,并且该文件会加载Snake Keylogger。 (编辑:PHP编程网 - 黄冈站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330482号