I ricercatori di HP Wolf Security hanno scoperto una nuova campagna di phishing che sfrutta allegati PDF per distribuire il malware Snake Keylogger. I cybercriminali cercano di ingannare gli utenti con un tipo di file meno utilizzato rispetto a quelli Office. Diverse tecniche permettono inoltre di nascondere l’infezione, ma tutte le soluzioni di sicurezza sono state aggiornate per intercettare gli attacchi informatici. Tra le migliori sul mercato c’è AVG Internet Security.
Allegato PDF distribuisce Snake Keylogger
Solitamente le email di phishing contengono in allegato file Office (documenti Word o fogli di lavoro Excel). Gli utenti però sono diventati più diffidenti, quindi ci pensano due volte prima di aprire i file. I cybercriminali hanno quindi iniziato ad utilizzare documenti in PDF per distribuire i malware.
Gli esperti di HP Wolf Security hanno individuato alcune email con un file PDF in allegato che, leggendo il nome, sembra una ricevuta di pagamento. Quando viene aperto il documento, il software di Adobe chiede di aprire un documento DOCX contenuto al suo interno. I cybercriminali hanno scelto un nome ad hoc per ingannare gli utenti, ovvero “has been verified. However PDF, Jpeg, xlsx, .docx”. Leggendo “è stato verificato” si potrebbe supporre che il file sia legittimo.
In realtà, se la funzionalità Visualizzazione protetta è disattivata in Word, viene eseguita la macro presente nel documento per scaricare ed aprire un file RTF. Sfruttando una vecchia vulnerabilità di Microsoft Equation Editor (CVE-2017-11882), lo shellcode nel file RTF scarica l’eseguibile fresh.exe
, ovvero Snake Keylogger, un info-stealer che cerca di raccogliere numerosi dati dal computer, tra cui le credenziali di login da browser, client email e reti Wi-Fi.