Il fatto che gli allegati di un’email possano essere un valido sistema per la distribuzione di malware non è assolutamente una novità. Ciò che invece lo è sono le varie campagne che i criminali informatici mettono a punto per cercare di raggirare gli utenti, come nel caso di quella scovata nel corso degli ultimi giorni, la quale sfrutta gli allegati PDF che vengono aggiunti ai messaggi di posta elettronica.
Malware: Snake Keylogger “viaggia” tramite allegati email in PDF
Ad avvertire della cosa sono stati i ricercatori di HP Wolf Security, i quali fanno sapere che è in atto un’offensiva su scala globale che vede i malintenzionati del caso inviare un semplice file PDF tramite email spacciandolo per un documento legato ad autorità nazionali, enti locali o aziende varie, mascherandolo da modulo da compilare per ricevere il pagamento per un servizio offerto.
Il PDF allegato all’email contiene a sua volta un file Word chiamato “è stato verificato”. Per cui, in concomitanza dell’apertura del PDF il software adibito allo scopo va a chiedere all’utente se aprire o meno il secondo file.
All’interno del secondo file è contenuta una macro che, se abilitata, scarica un file RTF da remoto e cerca di scaricare il malware Snake Keylogger, un virus modulare con alta persistenza e pensato per rubare i dati personali salvati sul computer e inviarli ai server dei cybercrminali.
Affinché il tutto si verifichi è però necessario che il dispositivo preso di mira sia vulnerabile a un difetto specifico denominato CVE-2017-11882. Si tratta di un bug risalente al 2017 e corretto a novembre dello stesso anno, ma ancora presente su moltissimi computer che non sono stati aggiornati.
Per evitare di ritrovarsi in spiacevoli situazioni in grado di mettere a repentaglio il corretto funzionamento del dispositivo usato e i dati presenti sullo stesso, oltre ad una buona dose d’accortezza e a preoccuparsi di aggiornare i propri device, è sempre bene munirsi di un antivirus e/o internet security.
Allegato PDF distribuisce Snake Keylogger
Solitamente le email di phishing contengono in allegato file Office (documenti Word o fogli di lavoro Excel). Gli utenti però sono diventati più diffidenti, quindi ci pensano due volte prima di aprire i file. I cybercriminali hanno quindi iniziato ad utilizzare documenti in PDF per distribuire i malware.
Gli esperti di HP Wolf Security hanno individuato alcune email con un file PDF in allegato che, leggendo il nome, sembra una ricevuta di pagamento. Quando viene aperto il documento, il software di Adobe chiede di aprire un documento DOCX contenuto al suo interno. I cybercriminali hanno scelto un nome ad hoc per ingannare gli utenti, ovvero “has been verified. However PDF, Jpeg, xlsx, .docx”. Leggendo “è stato verificato” si potrebbe supporre che il file sia legittimo.
In realtà, se la funzionalità Visualizzazione protetta è disattivata in Word, viene eseguita la macro presente nel documento per scaricare ed aprire un file RTF. Sfruttando una vecchia vulnerabilità di Microsoft Equation Editor (CVE-2017-11882), lo shellcode nel file RTF scarica l’eseguibile fresh.exe, ovvero Snake Keylogger, un info-stealer che cerca di raccogliere numerosi dati dal computer, tra cui le credenziali di login da browser, client email e reti Wi-Fi.
Fonte: html.it ~ punto-informatico.it
