Nhóm ứng phó khẩn cấp máy tính của Nhật Bản (JPCERT) đã phát hiện cuộc tấn công ‘MalDoc in PDF’ vào tháng 7 vừa qua. Theo đó, hacker vượt qua cơ chế phát hiện bằng cách nhúng các tệp Word độc hại vào file PDF.
File mà JPCERT lấy mẫu là polyglot, được hầu hết các công cụ quét nhận dạng PDF, tuy nhiên các ứng dụng văn phòng có thể mở dưới dạng tài liệu Word thông thường (.doc).
Polyglot là các file chứa hai định dạng riêng biệt có thể được hiểu và thực thi dưới dạng nhiều loại tệp, tùy thuộc vào ứng dụng đọc/mở chúng. Ví dụ, các tài liệu độc hại trong chiến dịch này là sự kết hợp giữa PDF và Word, có thể được mở ở một trong hai định dạng.
Thông thường, hacker sử dụng polygrot để tránh bị phát hiện hoặc gây nhầm lẫn cho các công cụ phân tích, vì các tệp này có vẻ vô hại ở một định dạng trong khi ẩn mã độc ở định dạng khác. Trong trường hợp này, file PDF chứa tài liệu Word có macro VBS để tải xuống và cài đặt một file mã độc MSI. Tuy nhiên, CERT Nhật Bản không chia sẻ chi tiết về loại mã độc được cài đặt.
Cần lưu ý rằng, MalDoc in PDF không vượt qua các cài đặt an ninh nhằm vô hiệu hóa tính năng tự động thực thi macro trên Microsoft Office. Vì vậy, người dùng vẫn có thể tự bảo vệ bằng cách nhấp vào nút tương ứng.
Ưu điểm chính của MalDoc in PDF đối với kẻ tấn công là khả năng tránh bị phát hiện bởi các công cụ phân tích PDF truyền thống như ‘pdfid’ hoặc các công cụ phân tích tự động khác sẽ chỉ kiểm tra lớp bên ngoài của tệp, là cấu trúc PDF hợp pháp.
Tuy nhiên, JPCERT cho biết các công cụ phân tích khác như ‘OLEVBA’ vẫn có thể phát hiện nội dung độc hại ẩn bên trong polyglot, do đó, các biện pháp phát hiện và phòng thủ nhiều lớp sẽ có hiệu quả trước mối đe dọa này.
Nguồn: Bleeping Computer