資安研究人員警告應小心夾帶惡意Word檔案之PDF檔

資安研究人員近期發現新型態攻擊手法，該攻擊於PDF內放入惡意Word檔案，並附於電子郵件中傳送。現今大多數攻擊手法為惡意電子郵件附帶Word或Excel檔案，並於檔案內嵌入惡意之巨集，誘騙使用者點選執行，但隨著大眾越來越了解Office附加檔案之威脅性，駭客開始找尋其他方法躲避檢測，PDF檔案即為其中一種。

HP Wolf Security公布之報告中，駭客嘗試寄送內含PDF檔案之釣魚信件，檔案命名為匯款發票，打開PDF後，Adobe Reader會提示使用者打開Word檔，因此行為很罕見，易令使用者感到困惑。提示框內說明「此檔案已被驗證」，此訊息易使受駭者相信Adobe已驗證該檔為合法檔案，並可安全地打開。使用者打開後將啟用巨集功能，並自遠端下載RTF(Rich Text Format)檔案，內含特製物件連結與嵌入(Object Linking and Embedding, OLE)物件。研究人員分析OLE物件後發現，其含有企圖開採CVE-2017-11882漏洞且加密之Shellcode。

微軟於2017年修補之CVE-2017-11882位於Equation Editor工具中，為Office預設工具，可於文件中插入與編輯方程式，在微軟修補該漏洞前，其存在已長達17年。透過利用CVE-2017-11882，RTF檔案中之shellcode可下載並執行Snake Keylogger，其為模組化資訊竊取工具，具有躲避檢測、資料收集及資料洩露等多種功能。

本文轉載自NCCST。