MalDoc in PDF: il trucco per nascondere documenti infetti in un PDF

Il team giapponese di risposta alle emergenze informatiche (JPCERT) ha condiviso con il mondo i dati riguardanti un nuovo attacco definito come “MalDoc in PDF“. Questa nuova minaccia, individuata lo scorso mese di luglio, è in grado di aggirare il rilevamento malware incorporando file Word dannosi nei PDF.

Il file campionato da JPCERT è un file poliglotta riconosciuto dalla maggior parte dei motori e strumenti di scansione come PDF, ma le applicazioni per ufficio possono aprirlo come un normale documento Word, con estensione .doc.

Con la definizione “file poliglotta” sono costituiti da due formati di file distinti che possono essere interpretati ed eseguiti come più di un tipo di file, a seconda dell’applicazione che li legge/apre. Ad esempio, i documenti dannosi di questa campagna sono una combinazione di documenti PDF e Word, che possono essere aperti in entrambi i formati.

In genere, gli autori delle minacce utilizzano questo tipo di file per eludere il rilevamento o confondere gli strumenti di analisi, poiché questi i dati possono apparire innocui in un formato e nascondere del codice dannoso nell’altro.

MalDoc in PDF, il file poliglotta che preoccupa gli esperti di sicurezza

In questo caso, il documento PDF contiene un documento Word con una macro VBS per scaricare e installare un file malware MSI se aperto come file .doc in Microsoft Office. Tuttavia, i ricercatori non hanno condiviso alcun dettaglio sul tipo di malware installato.

Nonostante questa modalità di attacco potrebbe sembrare innovativa, i file poliglotti non sono di certo una novità e hanno uno storico abbastanza ampio. In questo caso, però, secondo gli esperti di JPCERT, MalDoc in PDF si differenzia da minacce simili.

Esso infatti, è in grado di eludere il rilevamento da parte dei tradizionali strumenti di analisi PDF come pdfid o altri strumenti di analisi automatizzata che esaminano in modo generico il file, trovando solo una struttura PDF del tutto legittima.

Tuttavia, JPCERT afferma che altri strumenti di analisi come OLEVBA possono ancora rilevare il contenuto dannoso nascosto all’interno del poliglotta. Ciò significa che difese multilivello e suite di sicurezza avanzate possono risultare efficaci contro questa minaccia.