Huwag buksan ang PDF na ito—diretsong i-delete!
Bago pa man sumapit ang tax day sa Amerika, nagbabala na ang Microsoft tungkol sa pagdami ng mga cyber attack gamit ang PDF attachments. Ngayon, may panibagong panganib na humahamon sa mga gumagamit ng Windows. Ang bagong modus ay hindi na limitado sa panahon ng buwis, ngunit may nakatagong dayaan na lalong nagpapalito sa mga biktima.
Noong una, inilantad ng Microsoft na may mga PDF na may embedded na DoubleClick URL. Kapag kinlik mo ito, dinaan ka sa isang link ng Rebrandly URL shortener na nagdirekta sa isang pekeng DocuSign page. Sadyang nilikha para linlangin ang mga gumagamit at makuha ang kanilang impormasyon.
Ngunit ang bagong bantang ito ay mas malisyoso at mas kumplikado. Ayon sa TrustWave SpiderLabs, may kampanya na gumagamit ng pekeng “payment SWIFT copy” bilang pain. Ang naka-attach na PDF ay naglalaman ng JavaScript na gumagamit ng ActiveXObject para mag-download ng susunod na script. Ito ay nagpapatakbo ng PowerShell upang iproseso ang isang imahe mula sa archive.org. Bagama’t mukhang inosente ang imahe, tinatago nito ang malware na RemcosRAT gamit ang steganography—isang teknik na nagtatago ng data sa loob ng ibang file gaya ng larawan.
Ganito nagpapatuloy ang panlilinlang: ang mga link ay naka-tag sa loob ng QR codes o kaya naman ay walang karaniwang URL tag kaya’t hindi agad namamalayan ng mga security scan. Ang steganography pa ang nagdadagdag ng bagong antas ng lihim dahil halos imposibleng makita ng mga tao ang nakatagong malware.
Ipinapaliwanag ng Kaspersky na ang steganography ay ang pagtatago ng impormasyon sa loob ng ibang bagay para hindi ito makita. Puwedeng itago dito ang sulat, larawan, video, o audio at kadalasan ay naka-encrypt pa para mas mapahirapan ang pagdiskubre.
Paano nagsisimula ang atake? Isang phishing email ang unang hakbang—may kalakip itong PDF na naglalaman ng mapanlinlang na link. Dadalhin nito ang biktima sa isang website na naglalaman ng RemcosRAT, isang trojan na may kakayahang kontrolin nang malayuan ang isang PC.
Ang RemcosRAT ay isang mapanganib na malware na wala kang gustong maharap. Sa kabila nito, naniniwala pa rin ang marami na ligtas ang mga PDF kumpara sa mga Office documents. Mali ang pakahulugan na ito—patuloy na ginagamit ang PDF bilang pangunahing paraan ng panlilinlang.
Kung makatanggap ka ng email na may subject na “SWIFT Copy” na nagpapatunay ng isang bank transfer, magsiguro kang mag-ingat. Karaniwan itong pain ng mga attackers para mahulog ang kanilang mga biktima.
Pinakasimple pero epektibo ang payo: kapag may kahina-hinalang PDF, DELETE ON SIGHT. Huwag nang mag-alinlangan. Iwasan ang ipasok sa iyong computer ang pinto ng mga cyber criminals.
