Hackers lançam poderoso exploit de PDF usando técnicas de esteganografia

Os criminosos cibernéticos agora usam a nova técnica de estenografia para distribuir uma poderosa exploração de PDF ofuscada, a fim de comprometer os alvos e evitar a detecção.

Os hackers mal-intencionados estão sempre encontrando novas técnicas para explorar as vulnerabilidades e comprometendo a máquina das vítimas sem mais interação do usuário para aumentar a taxa de sucesso do ataque.

Esteganografia é a técnica de esconder dados secretos e dados maliciosos dentro de um arquivo ou mensagem comum, não secreta, para evitar a detecção; os dados secretos são então extraídos em seu destino.

Nisso os invasores usam esse método para ocultar códigos Javascript mal-intencionados em imagens que foram incorporadas posteriormente em arquivos PDF para ignorar o antivírus softwares.

Uma amostra identificada foi carregada no Virustotal em 2017-10-10, com um nome de arquivo “oral-b oxijet spec.pdf ”.

Uma amostra dessa exploração foi detectada como “ exploit CVE-2013-3346″,Inicialmente, um mecanismo AV foi detectado neste malware no total do Virus , mais tarde, poucos mecanismos antivírus detectaram isso como uma exploração do PDF.

Analisando o PDF Exploit

Os pesquisadores descobriram que há duas camadas diferentes de ofuscação que foram usadas nesta exploração em PDF.

A primeira camada usando duas funções diferentes “this.getPageNumWords ()” e “this.getPageNthWord ()” para extrair páginas PDF com base em conteúdo oculto.

A segunda camada contém “conteúdo Javascript” armazenado no fluxo 119 junto com duas APIs JS do PDF, o this.getIcon () e o util.iconStreamFromIcon () .

Com base nas referências da API, essas duas APIs, trabalhando juntas, devem ler o fluxo de uma imagem denominada “ícone” armazenada no arquivo PDF.

De acordo com a pesquisa de edgepot , “Ao examinar o código Javascript acima, descobrimos que a função do código é ler e decodificar a“ mensagem ”oculta no fluxo do ícone. Uma vez lida a “mensagem” com sucesso, ela executará a “mensagem” como código Javascript, via “eval (msg)”. 

O fluxo de ícones chamado “ícone” no objeto-131 pode ser salvo como um arquivo “jpg” e visualizado no visualizador de imagens sem problema.

Exploração de PDF
Os dados maliciosos estão ocultos na imagem

Não há dados maliciosos encontrados dentro do arquivo “ícone”, pois o arquivo é fortemente ofuscado.

Nesse caso, os invasores copiaram a técnica de esteganografia de código aberto chamada “ steganography.js ” para realizar esse ataque com sucesso.

“Acreditamos que a pessoa por trás das amostras de PDF fez sua inovação ao alavancar com sucesso a técnica em formato PDF. Nós não encontramos nenhuma informação mencionando tal técnica em explorações de PDF antes, então acreditamos que esta é a primeira vez que a técnica de “esteganografia” é usada para esconder explorações de PDF ”, disseram os pesquisadores.

Fonte GBHackers