【改名好重要】PDF名稱製造驗證錯覺 已知古老漏洞仍有利用價值
黑客其中一種常用技倆是於 Microsoft 文件檔如 DOCX 或 XLS 內植入惡意編碼,可能太多受騙個案,網民對這類檔案已有一定戒心。HP WolfSecurity 便發現近來有黑客轉為使用 PDF 發動攻擊,欺詐手法不單簡單而創新,當中還涉及一個 2017 年的已知漏洞……
HP WolfSecurity 最新發表的一份調查報告內指出,有黑客利用惡意 PDF 檔案發送資料盜竊軟件 Snake Keylogger,專家說與過往黑客較常利用 Office 文件的手法有出入,因而企業IT管理員有必要提高警覺。專家解釋,這次黑客的攻擊手法是向目標員工發送一個主題為 Remittance Invoice 的電郵,誤導收件人認為是公司與客戶的財務文件,提高打開 PDF 附件的機會。
當打開 PDF 後,Adobe 閱讀器會彈出「The file ‘has been verified.’」的字眼,誘使收件人授權打開內裏的 Office 文件。雖然這種彈出式通知非常罕見,有可能令收件人感到可疑,但專家說這次攻擊的精心之處是令人誤會 Adobe 已驗證了該文件,實際上黑客只是將檔案命名為「has been verified」,因此並不具有任何可信性。如收件人授權打開,同時間 Microsoft Word 或 Excel 又啟動了 macro 功能,內藏的惡意編碼便會自動執行,由黑客的伺服器下載 Snake Keylogger 惡意軟件,這款軟件可以記錄受害者電腦內的鍵盤輸入資料,不僅公司機密資料有可能外洩,員工帳戶登入資料亦會被盜用。
此外,黑客又利用了一個非常古老的 Microsoft Equation Editor 的漏洞來執行安裝程序,該漏洞的編號為 CVE-2017-11882,是一款於 2017 年被發現、可讓黑客遙距執行編碼的漏洞,雖然 Microsoft 早於 2017 年 11 月推出修補檔案,但仍未堵塞漏洞的電腦設備至今仍廣泛存在。專家建議企員IT管理員必須盡快更新各款軟硬件的韌體,時常保持在最新版本,才是最有效阻止入侵的安全措施。
相關文章:【扭曲原意】PDF認證簽章漏洞注釋、簽名權限可被利用插入惡意內容https://www.wepro180.com/20210602_pdf-2/
