Bilgisayar korsanları, tespit edilmekten kaçınmak için, kötü amaçlı bir Word dosyasını PDF dosyasına eklemek için “PDF’de MalDoc” adı verilen yeni bir yöntem kullandı.
Sihirli sayılara ve PDF’ye özgü bir dosya formatına sahip olmasına rağmen, PDF’de MalDoc ile oluşturulan bir dosya Word’de açılabilir.
Dosya yapılandırılmış bir makro içeriyorsa, bunu Word’de çalıştırmak VBS’nin başlatılmasına ve kötü amaçlı işlemler gerçekleştirmesine neden olur.
JPCERT/CC’nin bildirdiği saldırılarda “.doc” dosya uzantısı kullanıldı. Windows, Word ile ilişkilendirilmiş “.doc” uzantısına sahipse, PDF ile oluşturulan dosyadaki MalDoc, bir Word belgesi olarak açılacaktır.
“Saldırgan, Word’de oluşturulan ve PDF dosya nesnesinin arkasına bir makro eklenmiş bir mht dosyası ekler ve kaydeder. JPCERT/CC blogunda, oluşturulan dosya, dosya imzasında bir PDF dosyası olarak tanınıyor ancak Word’de de açılabilir” dedi.
Saldırının Analizi
Muhtemelen pdfid gibi PDF analiz araçları, MalDoc kullanılarak hazırlanan bir dosyadaki kötü amaçlı bileşenleri tespit edemeyecektir.
Ayrıca bu dosyanın Word’den erişildiğinde istenmeyen davranışlar sergilediğini de belirtmek gerekir; ancak PDF okuyucularda vb. açıldığında kötü niyetli davranışlar doğrulanamayabilir. Dosya bir PDF dosyası olarak tanındığından mevcut antivirüs veya sandbox araçları onu algılamayabilir.
JPCERT/CC ekibi, “Bu teknik, Word makrolarında otomatik yürütmeyi devre dışı bırakan ayarı atlamaz” dedi.
Bununla birlikte, belirli araçları, sanal alanları vb. kullanarak otomatik kötü amaçlı yazılım analizi yapıyorsanız, dosyalar PDF olarak tanındığından algılama bulguları konusunda dikkatli olmalısınız.
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.