Das japanische CERT (JPCERT) warnt zur Zeit vor einer kriminellen Technik namens “MalDoc in PDF”. Bei dieser Technik werden schädliche Word-Dokumente in PDF-Dateien versteckt, weshalb enthaltener Schadcode von vielen Analysetools nicht erkannt werden kann.
Eine Datei – zwei Dateiformate
Den Experten lag im vorliegenden Fall eine sogenannte polyglotte Datei vor – also eine Datei, die zwei unterschiedliche Dateiformate enthält und abhängig von der genutzten Anwendung als mehr als ein Dateityp interpretiert und ausgeführt werden kann.
Im Fall von MalDoc in PDF wird die schädliche Datei von den meisten Programmen als PDF erkannt, von Office-Programmen aber als Word-Dokument (.doc, .docx). Dies ist möglich, weil die Datei eine PDF-Struktur aufweist, inklusive der magischen Zahlen.
JPCERT hat das folgende Video auf YouTube veröffentlicht, um zu zeigen, wie MalDoc in PDF unter Windows aussieht:
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Makros laden Schadcode herunter
In den untersuchten Fällen enthält die PDF-Datei ein Word-Dokument mit einem VBS-Makro als MHT (MIME Encapsulation of Aggregate HTML Documents) an, also als vermeintliches Archiv von HTML-Seiten. Dieses Makro führt zum Herunterladen und Installieren einer verseuchten MSI-Datei. Weil Virenscanner nur das PDF-Dokument erkennen, kann der Schadcode verteilt werden – zumindest, wenn Makros in Word nicht deaktiviert sind. Konfigurierte Makrosperren umgeht der Angriff nicht.
Die schädlichen Makros werden ebenso nicht ausgeführt, wenn die Datei in PDF-Readern oder ähnlicher Software geöffnet wird.
Die Sicherheitsforscher schreiben, dass sie MalDoc in PDF zum ersten Mal in einem Angriff im Juli 2023 erkannt haben. Informationen zur Art der Malware liegen aktuell aber noch nicht vor.
Was NoSpamProxy-Kunden jetzt tun müssen
NoSpamProxy-Kunden sind vor MalDoc in PDF geschützt, wenn der Inhaltsfilter entsprechend konfiguriert ist – und das ist ganz einfach.
MalDoc in PDF erkennt NoSpamProxy als unlesbares PDF-Dokument. Um diese Dateien abzuweisen, müssen Sie lediglich einen entsprechenden Inhaltsfilterset-Eintrag in Ihrem Inhaltsfilter erstellen.
Wählen Sie als Bedingungen
- den Dateityp Unlesbares PDF-Dokument sowie
- die Dateinamen *.doc und *.docx.
Einstellen der erforderlichen Bedingungen in NoSpamProxy Server
Einstellen der erforderlichen Bedingungen in NoSpamProxy Cloud
Weisen Sie mit Hilfe der entsprechenden Inhaltfilteraktionen alle E-Mails dieses Typs ab. Stellen Sie dabei sicher, dass der entsprechende Inhaltsfilterset-Eintrag über anderen Einträgen mit Office-Bezug stehen:
Reihenfolge der Inhaltsfilterset-Einträge in NoSpamProxy Server
Der entsprechende Inhaltsfilterset-Eintrag muss über anderen Einträgen mit Office-Bezug stehen:
Reihenfolge der Inhaltsfilterset-Einträge in NoSpamProxy Cloud
Der entsprechende Inhaltsfilterset-Eintrag muss über anderen Einträgen mit Office-Bezug stehen:
Auch 32Guards schützt vor MalDoc in PDF
Ab sofort ist zudem eine entsprechende Erkennung in 32Guards aktiv, bei der die beschriebene Kombination aus Dateityp und Dateinamen mit 4 SCL-Punkten belegt wird.
Schutz vor Maldoc: Mit NoSpamProxy Protection
Mit NoSpamProxy schützen Sie Ihr Unternehmen zuverlässig vor Malware-Angriffen. Sie haben NoSpamProxy noch nicht im Einsatz? Fordern Sie jetzt Ihre kostenfreie Testversion an!