Laut BleepingComputer hat das Japan Computer Emergency Response Team (JPCERT) kürzlich eine neue Art von Angriff mit PDF-Dokumenten bekannt gegeben, die im Juli 2023 entdeckt wurde – den PDF-MalDoc-Angriff, der schädliche Word-Dateien in PDFs einbetten kann, um die Sicherheitserkennung zu umgehen.
JPCERT prüft eine Multiformatdatei, die von den meisten Scan-Engines und -Tools als PDF erkannt wird, von Office-Anwendungen jedoch als normales Word-Dokument (.doc) geöffnet werden kann. Eine Multiformatdatei ist eine Datei, die zwei verschiedene Dateiformate enthält, die abhängig von der Anwendung, die sie öffnet, als mehrere Dateitypen interpretiert und ausgeführt werden können.
Häufig verwenden Angreifer mehrere Formate, um der Erkennung zu entgehen oder Analysetools zu verwirren, da die Dateien in einem Format sicher erscheinen können, während sie in einem anderen bösartigen Code verbergen.
Den Ergebnissen der JPCERT-Analyse zufolge enthielt das PDF-Dokument ein Word-Dokument mit VBS-Makros, das, wenn es als DOC-Datei in Microsoft Office geöffnet wurde, die MSI-Malware-Datei herunterladen und installieren konnte, JPCERT gab jedoch keine Auskunft über die bösartige Natur der Datei Installation. Alle Angaben zur Art der Software.
Es ist zu beachten, dass MalDoc in PDF die Sicherheitseinstellung von Microsoft Office, die die automatische Ausführung von Makros verhindert, nicht umgehen kann und Benutzer sie manuell deaktivieren müssen, indem sie auf die entsprechende Einstellung klicken oder die Datei entsperren.
JPCERT sagte, dass das Einbetten eines Dateityps in einen anderen zwar nichts Neues sei, es aber von Zeit zu Zeit vorkomme, dass Angreifer Multiformatdateien einsetzen, um der Erkennung zu entgehen.
Für Angreifer besteht der Hauptvorteil von MalDoc in PDF darin, dass es der Erkennung durch herkömmliche PDF-Analysetools (wie „pdfid“) oder andere automatisierte Analysetools, die nur die äußeren Schichten der Datei auf scheinbar normale Struktur untersuchen, entgehen kann.
Die von JPCERT bereitgestellte Lösung besteht in der Einführung einer mehrschichtigen Verteidigung und eines umfangreichen Erkennungssatzes. Andere Analysetools wie „OLEVBA“ können weiterhin schädliche Inhalte erkennen, die in mehreren Sprachen versteckt sind. Darüber hinaus stellten sie eine Yara-Regel vor, die prüft, ob eine Datei mit einer PDF-Signatur beginnt und ein Muster enthält, das auf ein Word-Dokument, eine Excel-Arbeitsmappe oder eine MHT-Datei hinweist, was mit den von JPCERT in freier Wildbahn entdeckten Umgehungstechniken übereinstimmt.