Schadelijk Word-bestand in PDF-bestand

23 mrt 2025

Gerelateerde artikelen

Een geavanceerde aanvalstechniek is door Cybersecurity-experts geïdentificeerd, waarbij schadelijke Word-bestanden worden omsloten in PDF-documenten. Het is hierdoor onmogelijk om door traditionele beveiligingsmaatregelen te worden opgemerkt. Deze techniek wordt MalDoc genoemd.

Malware

Aanvallers kunnen schadelijke macro’s uitvoeren wanneer het bestand wordt geopend in Microsoft Word, waardoor het systeem van het doelwit wordt geïnfecteerd. MalDoc in PDF verwijst naar een techniek waarbij kwaadaardige Microsoft Word-documenten of MalDocs, worden ingesloten in een PDF-bestand. Het doel van deze methode is om de malware te verbergen in een schijnbaar onschadelijk PDF-bestand en zo gebruikers te misleiden om het te openen.

Hoe werkt het?

  1. Technische insluiting:
    • Cybercriminelen voegen een MalDoc, bijvoorbeeld een Word-document met schadelijke macro’s, direct in een PDF-bestand in. Ze benutten de functionaliteit van een PDF om objecten in te sluiten.
    • Vaak verbergen ze het ingesloten bestand onder een onschuldige naam, zoals Factuur of Reisdetails.
  2. Social engineering:
    • Aanvallers misleiden hun slachtoffers door overtuigende phishingmails te sturen. Ze doen zich voor als betrouwbare bronnen, zoals banken of overheidsinstanties, om gebruikers te verleiden het bestand te openen.
  3. Uitvoering:
    • Zodra de gebruiker het ingesloten MalDoc opent, vraagt het document toestemming om macro’s uit te voeren. Deze macro’s bevatten vervolgens schadelijke code die direct malware downloadt en activeert.
    • In sommige gevallen gebruiken criminelen exploits om de malware automatisch te activeren zonder tussenkomst van de gebruiker.
  4. Gevolgen:
    • De malware richt schade aan door bijvoorbeeld wachtwoorden te stelen, ransomware te installeren of door volledige controle over het systeem te nemen.

Waarom is het gevaarlijk?

  • Moeilijk te detecteren: Antivirussoftware herkent het vaak niet omdat het schadelijke bestand verborgen zit in een normaal ogende PDF.
  • Breed inzetbaar: Cybercriminelen richten zich hiermee vaak op bedrijven en overheidsinstanties.
  • Gebrek aan bewustzijn: Veel gebruikers begrijpen niet hoe ingesloten bestanden in PDF’s werken, wat hen extra kwetsbaar maakt.

De techniek erachter

Technische Insluiting

PDF-bestanden kunnen objecten insluiten, zoals afbeeldingen, video’s en andere bestanden. Cybercriminelen maken misbruik van deze functie om een MalDoc, zoals een Word-document met kwaadaardige macro’s, als een object in te sluiten.

Het ingesloten bestand wordt vaak verborgen of verpakt. Het krijgt vervolgens een legitieme naam, zoals Factuur of Reisdocument.

Maildoc
Voorbeeld van een Excel-bestand die is opgeslagen in een PDF-bestand.
Social Engineering

Om slachtoffers te verleiden tot interactie met het PDF-bestand, gebruiken criminelen overtuigende e-mails of context. Dit kan een phishing-mail zijn die afkomstig lijkt van een bekend iemand of organisatie, zoals een bank of een overheidsinstantie.

Uitvoering

Wanneer u het ingesloten MalDoc opent, vraagt het document vaak toestemming om macro’s uit te voeren. Een Macro is een stukje code die taken kan automatiseren. Maar wordt de code gebruikt om malware te downloaden en uit te voeren.

Een andere techniek is het gebruik van exploits om de malware automatisch te activeren. In sommige gevallen zelfs zonder tussenkomst van de gebruiker.

Gevolgen

De malware kan verschillende doelen hebben, zoals het stelen van wachtwoorden, het installeren van ransomware, of het verkrijgen van controle over het geïnfecteerde systeem.

Beschermingsmaatregelen

  • Open geen bijlagen of links van onbekende bronnen.
  • Controleer altijd de afzender van een PDF voordat u het opent.
  • Schakel standaard macro’s in Microsoft Office uit, tenzij u zeker weet dat het veilig is.
  • Houd de software en besturingssysteem up-to-date om bekende kwetsbaarheden te dichten.
  • Gebruik een krachtig antivirusprogramma dat ook ingesloten objecten analyseert.