[ad_1]
Pesquisadores de segurança cibernética da HP Wolf Safety identificaram uma nova campanha de crimes cibernéticos que aproveita arquivos PDF para tentar distribuir o Snake Keylogger em terminais.
De acordo com os pesquisadores, os agentes da ameaça primeiro enviariam um email com a linha de assunto “Fatura de remessa”, para tentar enganar as vítimas a pensar que seriam pagas por algo.
O email levaria um arquivo PDF anexado, provavelmente para tranquilizar a vítima da legitimidade do email, já que arquivos do Phrase ou Excel geralmente são suspeitos.
Abusando de uma falha conhecida
No entanto, um documento do Phrase, intitulado “foi verificado”, vem incorporado ao PDF. Quando a vítima abre o anexo, ela é recebida com um suggested perguntando se deve ou não abrir o segundo arquivo. A mensagem diz “O arquivo ‘foi verificado’ No entanto, arquivos PDF, jpeg, xlsx, docx podem conter programas, macros ou vírus.”
Isso pode levar a vítima a acreditar que seu leitor de PDF escaneou o arquivo e que está pronto.
O arquivo do Phrase, como esperado, vem com uma macro que, se habilitada, baixará um arquivo RTF (wealthy textual content layout) de um native remoto e o executará. O arquivo tentaria então baixar o Snake Keylogger, malware descrito por BleepingComputador como um “ladrão de informações modular com recursos poderosos de persistência, evasão de defesa, acesso a credenciais, coleta de dados e exfiltração de dados”.
Os endpoints de destino ainda precisam estar vulneráveis a uma falha específica, para que o ataque seja bem-sucedido. Os pesquisadores descobriram que os invasores estão tentando aproveitar o CVE-2017-11882, um trojan horse de execução remota de código no Equation Editor.
A falha foi corrigida em novembro de 2017, mas nem todos os administradores de dispositivos mantêm seus sistemas operacionais atualizados. Alegadamente, foi uma das vulnerabilidades mais populares para explorar em 2018, devido a organizações e consumidores serem relativamente lentos para corrigi-la.
Através da: BleepingComputador
[ad_2]
Fonte da Notícia
