ผู้ไม่ประสงค์ดีใช้ไฟล์ PDF เพื่อติดตั้ง Snake Keylogge Malware  

นักวิจัยได้พบการโจมตีโดยใช้ไฟล์ PDF เป็นเครื่องมือในการส่งไฟล์ที่เป็นอันตรายซึ่งดาวน์โหลดและติดตั้ง Malware ที่สามารถขโมยข้อมูลในเครื่องของเหยื่อได้ 

ไฟล์ PDF มีชื่อว่า “REMMITANCE INVOICE.pdf” ถูกส่งเป็นไฟล์แนบ Email ไปยังเป้าหมาย ซึ่งนักวิจัยคาดเดาว่า เนื้อหา Email มีสัญญาการชำระเงินให้กับผู้รับ 

เมื่อเปิด PDF Adobe Reader จะแจ้งให้เหยื่อเปิดไฟล์ DOCX ที่อยู่ภายในที่อาจทำให้เหยื่อสับสนได้ เนื่องจากผู้ไม่ประสงค์ดี ตั้งชื่อเอกสารว่า “ได้รับการตรวจสอบแล้ว” และข้อความแจ้ง Open File ด้านล่างระบุว่า “ไฟล์ ‘ได้รับการตรวจสอบแล้ว” ข้อความนี้อาจหลอกให้ผู้เหยื่อเชื่อไฟล์ PDF ได้ตรวจสอบไฟล์ว่าถูกต้องและเปิดไฟล์ได้อย่างปลอดภัย 

Dialog ร้องขอการอนุมัติการดำเนินการ 

นักวิจัยยังพบว่ามีการพยายามใช้ช่องโหว่ CVE-2017-11882 ซึ่งเป็นช่องโหว่ที่เรียกใช้ Remote Code Execution ใน Microsoft Equation Editor ที่แก้ไขในเดือนพฤศจิกายน 2017 แต่ยังคงมีให้สำหรับการหาประโยชน์จากช่องโหว่ 

ด้วยการใช้ประโยชน์จากช่องโหว่ CVE-2017-11882 ShellCode จะดาวน์โหลดและเรียกใช้ Snake Keylogger ซึ่งเป็นโปรแกรมขโมยข้อมูลที่มีการหลีกเลี่ยงการป้องกัน สามารถเข้าถึงข้อมูลประจำตัว และ มีความสามารถในการกรองข้อมูล 

IOCS: 

REMMITANCE INVOICE.pdf 05dc0792a89e18f5485d9127d2063b343cfd2a5d497c9b5df91dc687f9a1341d 
f_document_shp.doc 165305d6744591b745661e93dc9feaea73ee0a8ce4dbe93fde8f76d0fc2f8c3f 
Exploit shellcode f1794bfabeae40abc925a14f4e9158b92616269ed9bcf9aff95d1c19fa79352e 
fresh.exe (Snake Keylogger) 20a3e59a047b8a05c7fd31b62ee57ed3510787a979a23ce1fde4996514fae803 
has been verified. however pdf, jpeg, xlsx, .docx 250d2cd13474133227c3199467a30f4e1e17de7c7c4190c4784e46ecf77e51fe 

URL: 

External OLE reference URL hxxps://vtaurl[.]com/IHytw 
External OLE reference final URL hxxp://192.227.196[.]211/tea_shipping/f_document_shp.doc 
Snake Keylogger payload URL hxxp://192.227.196[.]211/FRESH/fresh.exe 
Snake Keylogger exfiltration via SMTP mail.saadzakhary[.]com:587 

คำแนะนำ 

1. ควรหลีกเลี่ยงการคลิกลิงก์แปลกปลอมหรือน่าสงสัย 

2. ควรหลีกเลี่ยงการโหลดไฟล์จากแหล่งที่ไม่น่าเชื่อถือ 

3. ควรอัพเดตซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุด เพื่อลดการเกิดช่องโหว่ 

4. ควรแสกนไวรัสอย่างสม่ำเสมอ 

5. ควรสำรองไฟล์ข้อมูลที่สำคัญไว้บนระบบคลาวด์ (Cloud Platform) เช่น Google Cloud เป็นต้น 

6. ควรตรวจสอบไฟล์ที่ดาวน์โหลดมาก่อนติดตั้งหรือทำการคลิก สามารถตรวจสอบไฟล์ได้ที่ 

(https://www.virustotal.com/gui/home/upload) 

Ref: https://www.bleepingcomputer.com/news/security/pdf-smuggles-microsoft-word-doc-to-drop-snake-keylogger-malware/ 

Ref IOCS: https://threatresearch.ext.hp.com/pdf-malware-is-not-yet-dead/# 

Share