McAfee Labs ha observado
recientemente un aumento significativo en la distribución de malware a través
de archivos PDF.
Ciertas instancias de malware pueden residir en correos electrónicos
aparentemente inofensivos, particularmente en los archivos PDF adjuntos que
los acompañan. La tendencia posterior observada en los últimos tres meses se
refiere a la prevalencia de malware distribuido a través de vectores
ejecutables no portátiles (no PE).
¿Por qué PDF?
Al implementar medidas de bloqueo de macro para los archivos de Office
entregados por Internet, los actores de amenazas se vieron obligados a idear
métodos alternativos para la distribución de malware por correo electrónico.
La compleja estructura de los archivos PDF los hace susceptibles a la
explotación, lo que plantea importantes desafíos a la hora de detectar
contenido malicioso en su interior. Como formato de archivo comúnmente
empleado y distribuido a través de archivos adjuntos, los PDF representan una
vía atractiva para que los atacantes engañen a los usuarios haciéndoles creer
que son benignos.
Al explotar esta confianza, los atacantes pueden crear fácilmente malware
basado en PDF, que a menudo contiene cargas útiles alojadas en sitios web
maliciosos. Tras la interacción del usuario, como hacer clic en un enlace,
estos archivos PDF descargan el payload dañino.
Cadena de infección
Esta cadena de infección emergente que involucra, entre otros, al Agente
Tesla, se inicia a partir de un correo electrónico que contiene un archivo PDF
adjunto, que posteriormente facilita la difusión de la carga útil final.
En la versión desactualizada y sin parches de Acrobat Reader, los archivos PDF
ejecutan directamente JavaScript incrustado usando MSHTA, iniciando
posteriormente PowerShell, lo que facilita la inyección de procesos. Por el
contrario, en la última versión de Acrobat Reader, los archivos PDF no pueden
ejecutar JavaScript directamente. En lugar de ello, redireccionan a un sitio
web malicioso, desde donde se descarga el script. El proceso posterior
sigue siendo coherente con el caso anterior.
Al examinar la estructura interna del PDF, se descubrió que dentro de uno de
los siete objetos, se identificaron algunos datos hexadecimales y una URL
incrustada. Los atacantes utilizan las URL de Bitly para ocultar enlaces
maliciosos, lo que los hace más difíciles de detectar.
Esto es especialmente útil en esquemas de phishing en los que engañan a los
usuarios para que revelen información confidencial. Los enlaces dinámicos de
Bitly permiten a los atacantes cambiar de destino, mejorando su capacidad para
evadir la detección. Además, los atacantes aprovechan la confianza asociada a
Bitly para mejorar el éxito de sus tácticas de ingeniería social.
Fuente:
Mcafee
Los comentarios están cerrados.