Nun haben sich die Kriminellen allerdings etwas Neues einfallen lassen, um ihre Malware zu verbreiten: Sie nutzen das bisher weitgehend unverdächtige PDF-Format, um auf die Rechner ihrer Opfer zu gelangen. Das schildern Sicherheitsforscher von HP Wolf Security in einem neuen Bericht. Darin zeigen sie, wie PDFs als Vehikel genutzt werden, um Dokumente mit gefährlichen Makros einzuschleusen, die dann die Keylogger-Malware Snake im Hintergrund herunterladen und auf den Rechnern ihrer Opfer installieren.
Im aktuellen Fall erhalten die Opfer per E-Mail ein PDF mit dem Namen „Remittance Invoice“, also ein Hinweis auf eine Überweisung zu einer Rechnung. Wenn das PDF geöffnet wird, fordert der Adobe Reader das potenzielle Opfer dazu auf, eine .docx-Datei zu öffnen. Dieser Vorgang ist bereits sehr ungewöhnlich und sollte den Nutzer misstrauisch machen. Doch an dieser Stelle sind die Kriminellen sehr kreativ geworden, um das Opfer in Sicherheit zu wiegen. Sie haben dem Word-Dokument nämlich den Namen „has been verified“, also „wurde verifiziert“, gegeben. Das Pop-up-Fenster beim Öffnen liest sich daher „The file ‚has been verified‘“, was das Opfer ganz offensichtlich dazu verleiten soll, der Datei zu vertrauen. Immerhin sieht es so aus, als hätte Adobe die Datei verifiziert und als sicher eingestuft.
Die Sicherheitsexperten betonen zwar, dass es Mittel und Wege gibt, eingebettete Dateien in PDFs mithilfe von Parsern und Skripten zu untersuchen, doch normale Benutzer, die diese kniffligen E-Mails erhalten, würden diese Maßnahmen wohl eher nicht ergreifen. Daher dürften viele Nutzer das .docx in Microsoft Word öffnen. Wenn nun auch noch Makros aktiviert sind, lädt das verseuchte Dokument eine RTF-Datei (Rich Text Format) von einer Remote-Ressource herunter. Diese trägt den Namen „f_document_shp.doc“ und enthält fehlerhafte OLE-Objekte, die sich wahrscheinlich der Analyse entziehen. OLE steht dabei für Object Linking and Embedding und bezeichnet ein Microsoft-Objektsystem und Protokoll, das die Zusammenarbeit unterschiedlicher Applikationen ermöglicht.
Nach einigen gezielten Rekonstruktionen stellten die Analysten von HP fest, dass die Kriminellen versuchen, eine alte Microsoft-Equation-Editor-Schwachstelle zu missbrauchen, um beliebigen Code auszuführen. Dabei handelt es sich um CVE-2017-11882, die einen Fehler bei der Remotecodeausführung im Formeleditor ausnutzt. Ein Patch wurde bereits im November 2017 ausgeliefert, doch dieser scheint noch längst nicht überall eingespielt worden zu sein, denn die Sicherheitslücke wird immer noch in freier Wildbahn ausgenutzt.
Bereits bei ihrer Entdeckung erregte CVE-2017-11882 die Aufmerksamkeit von kriminellen Hackern und da die Nutzer das veröffentlichte Sicherheitsupdate nur langsam einspielten, wurde sie zu einer der am häufigsten ausgenutzten Schwachstellen im Jahr 2018.
In der aktuellen Kampagne lädt der Shellcode im RTF den Snake Keylogger herunter und führt ihn aus. Snake ist ein modularer, überaus widerstandsfähiger Info-Stealer, der die Abwehr vieler Systeme umgeht und sich Zugriff auf Anmeldeinformationen und Daten verschafft.
Der Fall zeigt, dass auch vermeintlich sichere Datei-Formate eine Gefahrenquelle darstellen können. Nutzer sollten daher bei Datei-Anhängen aus unsicheren Quellen immer Vorsicht walten lassen und Makros grundsätzlich deaktivieren.