L’équipe japonaise d’intervention d’urgence informatique (JPCERT) partage une nouvelle attaque « MalDoc in PDF » détectée en juillet 2023 qui contourne la détection en intégrant des fichiers Word malveillants dans des PDF.
Le fichier échantillonné par JPCERT est un fichier polyglotte reconnu par la plupart des moteurs et outils d’analyse comme un PDF, mais les applications bureautiques peuvent l’ouvrir comme un document Word standard (.doc).
Les polyglottes sont des fichiers qui contiennent deux formats de fichiers distincts qui peuvent être interprétés et exécutés comme plusieurs types de fichiers, en fonction de l’application qui les lit/ouvre.
Par exemple, les documents malveillants de cette campagne sont une combinaison de documents PDF et Word, qui peuvent être ouverts dans l’un ou l’autre format de fichier.
En règle générale, les auteurs de menaces utilisent des polyglottes pour échapper à la détection ou confondre les outils d’analyse, car ces fichiers peuvent paraître inoffensifs dans un format tout en cachant du code malveillant dans l’autre.
Dans ce cas, le document PDF contient un document Word avec une macro VBS pour télécharger et installer un fichier malveillant MSI s’il est ouvert en tant que fichier .doc dans Microsoft Office. Cependant, le CERT japonais n’a partagé aucun détail sur le type de malware installé.
Cependant, il convient de noter que MalDoc en PDF ne contourne pas les paramètres de sécurité qui désactivent l’exécution automatique des macros sur Microsoft Office. Il s’agit donc toujours de protections adéquates que les utilisateurs doivent désactiver manuellement en cliquant sur le bouton correspondant ou en débloquant le fichier.
JPCERT a publié la vidéo suivante sur YouTube pour démontrer comment MalDoc dans les fichiers PDF apparaît et fonctionne sous Windows.
Bien que l’intégration d’un type de fichier dans un autre ne soit pas nouvelle, les attaquants déployant des fichiers polyglottes pour échapper à la détection étant bien documentés, la technique spécifique est nouvelle, explique JPCERT.
Le principal avantage de MalDoc dans PDF pour les attaquants est la capacité d’échapper à la détection par les outils d’analyse PDF traditionnels comme « pdfid » ou d’autres outils d’analyse automatisés qui examineront uniquement la couche externe du fichier, qui est une structure PDF légitime.
Cependant, JPCERT affirme que d’autres outils d’analyse comme « OLEVBA » peuvent toujours détecter le contenu malveillant caché à l’intérieur du polyglotte, donc des défenses multicouches et des ensembles de détection riches devraient être efficaces contre cette menace.
L’agence de cybersécurité a également partagé une règle Yara pour aider les chercheurs et les défenseurs à identifier les fichiers à l’aide de la technique « MalDoc in PDF ».
La règle vérifie si un fichier commence par une signature PDF et contient des modèles indiquant un document Word, un classeur Excel ou un fichier MHT, ce qui correspond à la technique d’évasion repérée par JPCERT dans la nature.