【安全资讯】Snake Keylogger恶意软件分发活动

近日，研究人员发现了一个恶意软件分发活动，该活动利用PDF附件分发恶意Word文档，从而使用户感染恶意软件。活动中通过电子邮件传播的PDF文档名为“Remittance Invoice（汇款发票）”，打开PDF时，Adobe Reader会提示用户打开其中包含的DOCX文件。攻击者将嵌入的文档命名为“已验证”，诱使收件人相信Adobe Reader已将该文件验证为合法并且该文件可以安全打开。如果打开DOCX文件并启用宏，将从远程资源下载RTF文件并打开。

RTF文档包含格式错误的OLE对象，可能会规避分析。研究人员发现它试图滥用旧的微软公式编辑器漏洞（CVE-2017-11882）来运行代码。通过利用该漏洞，RTF中的shellcode会下载并运行Snake Keylogger，这是一个模块化的信息窃取程序，具有强大的持久性、防御规避、凭据访问、数据收集和数据泄露功能。