Техника MalDoc in PDF позволяет прятать вредоносный Word-файл в PDF

Техника MalDoc in PDF позволяет прятать вредоносный Word-файл в PDF

Техника MalDoc in PDF позволяет прятать вредоносный Word-файл в PDF

Группа японских специалистов, занимающаяся обработкой срочных киберинцидентов (JPCERT), рассказала о новом векторе атаки — «MalDoc in PDF», позволяющем уйти от детектирования путём встраивания вредоносных документов Word в PDF.

Один из таких файлов, который попался в руки JPCERT, выглядит в глазах большинства антивирусных движков документом в формате PDF. При этом офисные приложения могут открыть его как обычный Word-файл (.doc).

Такие файлы называются «полиглотами» и включают два разных формата, что позволяет открыть их несколькими приложениями. Участвующий в этой кампании файл, например, представляет собой смесь PDF и Word и может быть открыт как любой из этих типов файлов.

Как правило, злоумышленники используют «полиглоты» для ухода от детектирования или запутывания различных анализаторов. В одной части такого файла может находиться абсолютно безобидный код, в другой — вредоносная нагрузка.

Атака MalDoc in PDF отличается тем, что PDF-файл содержит документ в формате Word. В последний встроен VBS-макрос, загружающий и устанавливающий вредоносный файл MSI.

 

Стоит отметить, что техника MalDoc in PDF бессильна перед настройками, отключающими автоматическое выполнение макросов в Office. Команда JPCERT опубликовала видеодемонстрацию MalDoc in PDF на YouTube:

 

Исследователи отметили, что новый вектор может запутать распространенные инструменты для анализа PDF вроде pdfid, однако тулза OLEVBA способна детектировать пейлоад во вредоносной части файла.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Холдинг Fplus все ближе к банкротству

Банки «Санкт-Петербург» и ББР намерены обратиться в суд с исками о банкротстве холдинга Fplus и его генерального директора и совладельца Алексея Мельникова. Ранее аналогичное заявление подал Совкомбанк — он уже просил признать банкротами три юридические организации группы, включая головную структуру.

О планах банков «Санкт-Петербург» и ББР инициировать процедуру банкротства Fplus сообщил «Коммерсантъ», ссылаясь на публикации на портале «Федресурс».

По информации кредиторов, иски будут поданы против головной компании холдинга — «Ф-плюс оборудование и разработки» — а также против дочерней структуры «Мобильные и компьютерные технологии».

Ранее с иском о признании банкротом трёх юрлиц Fplus, включая головную компанию, обратился Совкомбанк. К процедуре затем присоединились Сбер и банк «Санкт-Петербург». По данным «СПАРК-Интерфакс», общая долговая нагрузка Fplus составляет 951 млн рублей.

Гендиректор «Промобита» (бренд Bitblaze) Максим Копосов отмечает, что похожие финансовые трудности сейчас испытывают многие компании — в том числе из-за снижения спроса со стороны государственных структур и госкомпаний.

Ассоциация разработчиков и производителей электроники прогнозирует, что российский рынок электронных компонентов по итогам 2025 года сократится примерно на 25%. В 2024 году рынок уже упал на 2,6%, а доля отечественной продукции на нём долгие годы не превышает 30%.

Юрист White Stone Игорь Ширин подчёркивает: шансов у поставщика на благоприятный исход остаётся немного. «Практика показывает, что крупные кредиторы, как правило, стремятся к быстрому и эффективному удовлетворению своих требований, что часто приводит к конкурсному производству и реализации имущества», — сказал он.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru