HP Wolf Security siber güvenlik araştırmacıları, Snake Keylogger'ı savunmasız uç noktalara dağıtmak için PDF dosyalarından yararlanan yeni bir siber suç yöntemi keşfetti. Araştırmacıların söylediğine göre, saldırganlar önce “Gönderi Faturası” konu satırını içeren bir e-posta göndererek kurbanları bir şey için ödeme alacaklarını düşündürerek kandırmaya çalışıyor.
Word veya Excel dosyaları genellikle şüpheli olduğundan dolayı bu e-posta, kurbana e-postanın meşruiyeti konusunda güvence vermesi için ekli bir PDF dosyası içeriyor. Ancak, "doğrulandı" başlıklı bir Word belgesi PDF'ye gömülü olarak geliyor ve kurban eki açtığında, ikinci dosyayı açıp açmayacağını soran bir soruyla karşılaşıyor. Mesaj "Dosya 'doğrulandı', ancak PDF, jpeg, xlsx, docx dosyaları programlar, makrolar veya virüsler içerebilir” diyor.
Dosya adıyla yapılan bu değişiklik, kurbanı, PDF okuyucusunun dosyayı taradığına ve güvenilir olduğuna ikna edebiliyor.
Tahmin edebileceğiniz gibi bu Word dosyası etkinleştirilirse, uzak bir konumdan zengin metin biçimi (RTF) dosyası indirerek çalıştıracak bir makro ile birlikte devreye giriyor. Dosya daha sonra BleepingComputer tarafından "güçlü kalıcılık, savunmadan kaçınma, kimlik bilgileri erişimi, veri toplama ve veri sızma yeteneklerine sahip modüler bir bilgi hırsızı" şeklinde tanımlanan kötü amaçlı bir yazılım olan Snake Keylogger'ı indirmeye çalışıyor.
Bu saldırının başarılı olması için, hedef uç noktaların belirli bir kusura karşı savunmasız olması gerekiyor. Araştırmacılar, saldırganların Denklem Düzenleyicisi'nde bir uzaktan kod yürütme hatası olan CVE-2017-11882'den yararlanmaya çalıştığını söylüyor.