Gli esperti di sicurezza informatica di HP Wolf Security hanno scoperto una nuova campagna contro la criminalità informatica che tenta di fornire Snake Keylogger tramite file PDF a endpoint sensibili.
Secondo i ricercatori, gli attori della minaccia avrebbero inizialmente inviato un’e-mail con l’oggetto “Fattura di rimborso” per indurre le vittime a pensare che sarebbero state risarcite per qualsiasi cosa. L’e-mail includerebbe un file PDF allegato, che molto probabilmente rassicurerebbe la vittima della genuinità dell’e-mail, poiché i file Word o Excel sono spesso sospetti.
Il PDF, tuttavia, include un documento Word intitolato “è stato convalidato”. Quando la vittima apre l’allegato, viene visualizzata una finestra che chiede se desidera accedere al secondo file. “Il file è stato confermato”, dice l’avviso. I file PDF, jpg, xlsx e docx, invece, possono contenere programmi, macro o virus.”
Ciò potrebbe indurre la vittima a credere che il lettore PDF abbia scansionato il file e che tutto sia a posto. Il file di Word, come previsto, ha una macro che, se abilitata, scaricherà ed eseguirà un file RTF (RTF) da un indirizzo remoto. Il file tenterà quindi di scaricare il malware Snake Keylogger, definito da BleepingComputer come un “ladro di informazioni modulare con potente persistenza, evasione difensiva, accesso alle credenziali, raccolta dei dati ed esfiltrazione dei dati”.
Affinché l’attacco abbia successo, gli endpoint di destinazione devono comunque essere esposti a un punto debole specifico. I ricercatori hanno scoperto che gli aggressori stanno tentando di sfruttare CVE-2017-11882, una vulnerabilità legata all’esecuzione di codice in modalità remota nell’editor.
Sebbene la vulnerabilità sia stata risolta a novembre 2017, non tutti gli amministratori di dispositivi mantengono aggiornati i propri sistemi operativi. Poiché le imprese e i consumatori sarebbero stati riluttanti a risolverlo, sarebbe stata una delle vulnerabilità più comuni da attaccare nel 2018.