Los avances en la ciberseguridad están en constante evolución, y, con ellos, también las tácticas empleadas por los ciberdelincuentes. Una de las técnicas recientemente identificadas es el “MalDoc en PDF”, la cual permite ocultar un archivo malicioso de Word dentro de un documento PDF, representando un desafío adicional en la batalla contra el cibercrimen.
¿Qué es «MalDoc en PDF»?
El equipo JPCERT/CC ha sacado a la luz una astuta técnica que consiste en insertar un archivo malicioso de Microsoft Word dentro de un archivo PDF. Esta técnica ha sido bautizada como «MalDoc en PDF».
“Un archivo creado con MalDoc en PDF puede abrirse en Word, a pesar de tener la estructura y los números mágicos propios de un archivo PDF. Si el archivo está configurado con una macro, al abrirlo en Word, se ejecutará un script VBS que realizará acciones perjudiciales”. – Investigadores Yuma Masubuchi y Kota Kino del JPCERT/CC.
Este proceso se basa en la creación de archivos conocidos como “políglotos”, que combinan legítimamente múltiples tipos de archivos en uno solo, en este caso, PDF y Word (DOC).
Detalles Técnicos
La técnica implica la inserción de un archivo MHT creado en Word, con una macro adjunta, dentro de un archivo PDF. El archivo resultante es un PDF válido que también puede abrirse en Microsoft Word. Si se abre como un archivo .DOC en Microsoft Office, el documento PDF incrustado en su interior activa una macro VBS diseñada para descargar e instalar un archivo de malware MSI.
“Cuando se descarga un documento desde Internet o se recibe por correo electrónico, se activa el Modo Protegido. En consecuencia, el usuario debe hacer clic en ‘Habilitar edición’ para salir de este modo, momento en el que se le informa que las macros están deshabilitadas”. – Investigador de seguridad Will Dormann.
Qishing: otra amenaza emergente
Otro método de ataque en aumento es el uso de códigos QR en campañas de phishing para propagar URL maliciosas. Este enfoque, denominado “qishing”, ha resultado ser especialmente eficaz.
“Las muestras que hemos identificado utilizando esta técnica suelen disfrazarse como notificaciones de autenticación de múltiples factores (MFA), atrayendo a las víctimas a escanear el código QR con sus teléfonos móviles para obtener acceso. Sin embargo, en lugar de dirigirse al destino deseado, el código QR redirige a las víctimas a la página de phishing del actor de amenazas”. – Trustwave.
Cofense señaló que, desde mayo de 2023, se ha registrado un aumento del 2.400% en campañas de este tipo dirigidas a las credenciales de Microsoft de los usuarios.
Otros ataques de ingeniería social
Los ataques de ingeniería social han ido en aumento, con tácticas como el «vishing» y el phishing utilizadas para obtener acceso no autorizado a sistemas objetivo. Por ejemplo, Sophos documentó un caso en el que un ciberdelincuente combinó llamadas telefónicas y correos electrónicos en una cadena de ataques sofisticada contra un empleado de una organización suiza.
“El llamador, cuya voz parecía ser la de un hombre de mediana edad, se hizo pasar por un conductor de entrega con un paquete urgente destinado a una de las ubicaciones de la empresa. Sin embargo, afirmó que no había nadie disponible para recibir el paquete y solicitó una nueva dirección de entrega en la ubicación de la oficina del empleado. Para completar la entrega, el empleado debía leer en voz alta un código que la empresa de envíos enviaría por correo electrónico”. – Investigador de Sophos, Andrew Brandt.
En resumen
La ciberseguridad es un campo en constante evolución, y las tácticas de los ciberdelincuentes se vuelven cada vez más sofisticadas. Las organizaciones y los individuos deben mantenerse informados y alerta para protegerse de estas amenazas emergentes.
Fuentes:
