MalDoc in PDF: Japanisches CERT warnt vor in PDFs versteckten Malware-Dokumenten
Cyberkriminelle finden immer neue Wege, Malware vor der Erkennung zu verstecken. Das japanische CERT hat jetzt bösartige Word-Dokumente in PDFs gefunden.
(Bild: PORTRAIT IMAGES ASIA BY NONWARIT/Shutterstock.com)
Das japanische CERT warnt vor einer neu entdeckten Masche, mit der sich Malware vor der Erkennung versteckt. Die IT-Forscher nennen die Technik "MalDoc in PDF", da dabei ein schädliches Word-Dokument in einer PDF-Datei versteckt wird. Dadurch finden sie viele Virenscanner und Analysetools nicht.
Die IT-Sicherheitsforscher des JPCERT schreiben in einem Blogbeitrag, dass sie den Angriff damit im Juli entdeckt haben. Ein "MalDoc in PDF" lässt sich mit Word öffnen, obwohl es die sogenannten Format-anzeigenden Magicbytes und Dateistruktur von PDF nutze. Sofern die Datei Makros enthält, werden diese ausgeführt, auch bösartige Aktivitäten – eine automatische eingestellte Makrosperre umgeht der Angriff allerdings nicht. Die Dateiendung im beobachteten Fall war .doc. Sofern Word als Dateihandler für .doc-Dateien in Windows konfiguriert ist, öffnet die Microsoft-Office-Software daher die "MalDoc in PDF"-Dateien.
MalDoc in PDF: Word-Dokument mit PDF-Struktur
Auf einem Screenshot der IT-Forscher lässt sich erkennen, dass die Datei eine PDF-Struktur aufweist. Sie lässt sich dennoch mit Word öffnen. Zudem hängt der Datei ein Makro als MHT (MIME Encapsulation of Aggregate HTML Documents) an, also als vermeintliches Archiv von HTML-Seiten.
Weiter führen die IT-Sicherheitsforscher aus, dass PDF-Analysetools höchstwahrscheinlich die bösartigen Teile in der Datei nicht erkennen. Sie ergänzen, dass die Datei die unerwünschten Aktionen ausführt, sofern sie mit Word geöffnet wird. Die schädlichen Makros kommen nicht zur Ausführung, wenn die Datei in PDF-Viewern oder ähnlicher Software geöffnet werde. Da die Datei aufgrund der Magicbytes als PDF erkannt wird, könnten gängige Sandboxen oder Antivirensoftware sie nicht erkennen.
(Bild: JPCERT)
Als Gegenmaßnahme schlagen die IT-Forscher vor, verdächtige Dokumente etwa mit OLEVBA zu untersuchen. Es kann die eingebetteten Makros auswerfen und damit die bösartigen Teile der Datei weiter analysiert werden. Das JPCERT stellt noch eine beispielhafte YARA-Regel vor, die vor Excel-Dateien in PDFs warnt. IT-Verantwortliche können sie als Ausgangspunkt für eigene weitere Regeln nutzen. Wichtig ist auch der Hinweis, dass eine Warnung vor Makros durch das öffnende Programm auch bei MalDoc-in-PDF-Dateien ernst zu nehmen ist.
Cyberkriminelle versuchen, ihre Malware auf allen angreifbaren Plattformen vor der Entdeckung zu schützen und zu verstecken. Etwa versuchen bösartige Android-Apps etwa, durch fehlerhafte Header-Einträge bezüglich der genutzten Verschlüsselung der statischen Analyse zu entgehen. In vielen Fällen lassen sich derartig manipulierte Dateien glücklicherweise jedoch gar nicht ausführen.
(dmk)
