Domů
Bezpečnost

Odborníci varují před novým podvodným malwarem: žádný virový skener proti němu nemá šanci – o to víc je zákeřný

Jiří Palyza 04.09.2023
Zdroj: Midjourney (vygenerováno pomocí umělé inteligence)

Bezpečnostní experti odhalili nový podvod kybernetických zločinců. Japonský tým z centra JPCERT sdílí informace o novém útoku "MalDoc in PDF", který odhalili v červenci. Detekci obchází vkládáním škodlivých wordovských dokumentů do souborů PDF.

Kapitoly článku

Soubor, z něhož JPCERT vzorky odebral, je typu polyglot, který většina skenovacích agregátorů a antivirových nástrojů rozpozná jako PDF, nicméně kancelářké aplikace jej mohou otevřít jako běžný dokument Wordu (.DOC).

Termínem polyglot se označují počítačové programy, skripty nebo soubory, které jsou psané ve validní formě pro více formátů a zpravidla kombinují syntaxi více formátů. Mají svůj praktický význam z pohledu kompatibility, v oblasti bezpečnosti jsou ale rizikem kvůli bezproblémovému ověření a nezachycení antivirovými programy. Poté mohou nerušeně spouštět rizikový kód a útočit na různé zranitelnosti. Útočníci obvykle polygloty používají pro zmatení analytických nástrojů. V jednom formátu takové soubory mohou vypadat neškodně, zatímco ve druhém se skrývá nebezpečí.

Aktuálně detekovaná hrozba se šíří prostřednictvím souborů, které na první pohled vypadají jako zcela normální soubor PDF. Je ale navržen tak, že používá i kód wordovského dokumentu a může tedy být otevřen jako kterýkoliv z nich. V tomto případě dokument aplikace Word obsahuje VBS makro, které instaluje soubor MSI se škodlivým softwarem, pokud se otevře v aplikaci MS Office. Zástupci z japonské organizace CERT ale nesdělili žádné další informace o typu použitého malwaru.

Pro tento případ platí víc než kdy jindy: buďte skeptičtí k přílohám souborů, které vám chodí například prostřednictvím elektronické komunikace. Pokud zpráva přichází z neznámé adresy, měli byste si otevření souborů v příloze dvakrát rozmyslet. A to i v případě, kdy se na první pohled jedná o "neškodný soubor" PDF.

Malware ve zdánlivě neškodných PDF souborech: v tomto případě je podezřívavost vždy na místě

JPCERT zveřejnil na YouTube následující video, které ukazuje, jak se MalDoc v souborech PDF objevuje a funguje v systému Windows.

Zdroj: YouTube/JPCERT, "[Demo] MalDoc in PDF"

MalDoc v PDF ale neobchází nastavení zabezpečení, které blokuje automatické spouštění maker v MS Office. V tomto případě se stále jedná o adekvátní ochranu, kterou uživatelé musejí deaktivovat ručně kliknutím na odpovídající tlačítko nebo odblokováním souboru.

Zdroj: Bleeping Computer

Máte k článku připomínku? Napište nám

Sdílet článek

Mohlo by se vám líbit

Všechny nejnovější zprávy

doporučujeme