Los expertos en ciberseguridad de JPCERT/CC han advertido sobre una técnica astuta de elusión de antivirus. Consiste en insertar un archivo malicioso de Microsoft Word dentro de un archivo PDF. Esta técnica ha sido descubierta en medio de un aumento en las campañas de ingeniería social, lo que preocupa a los expertos.

Esta táctica ingeniosa, conocida como “MalDoc en PDF” por el equipo de JPCERT/CC, ha sido descubierta al ser empleada en un ataque real en julio de 2023.

«Un archivo creado con MalDoc en PDF puede abrirse en Word, a pesar de tener la estructura y los números mágicos propios de un archivo PDF. Si el archivo está configurado con una macro, al abrirlo en Word, se ejecutará un script VBS que realizará acciones perjudiciales».

Investigadores Yuma Masubuchi y Kota Kino del JPCERT/CC.

Los archivos denominados “políglotos” son diseñados de manera especial, ya que combinan de forma legítima diversos tipos de archivos en uno solo, en este caso, PDF y Word (DOC).

La técnica consiste en insertar un archivo MHT creado en Word, junto con una macro adjunta, dentro del archivo PDF. Como resultado, se obtiene un archivo PDF completamente válido que también puede abrirse en la aplicación Word.

En resumen, este documento PDF contiene internamente otro documento de Word con una macro VBS que tiene como objetivo descargar e instalar un archivo de malware MSI si se abre como un archivo .DOC en Microsoft Office. En este momento, no se sabe con certeza cuál es el malware específico que se ha distribuido utilizando este método.

«Cuando se descarga un documento desde Internet o se recibe por correo electrónico, se activa el Modo Protegido. En consecuencia, el usuario debe hacer clic en ‘Habilitar edición’ para salir de este modo, momento en el que se le informa que las macros están deshabilitadas».

Investigador de seguridad Will Dormann.

Este desarrollo ocurre en medio de un aumento en las campañas de phishing que utilizan códigos QR para propagar URL maliciosas, una táctica conocida como “qishing”. Las muestras identificadas utilizando esta técnica se disfrazan como notificaciones de autenticación de múltiples factores (MFA), llevando a las víctimas a escanear el código QR con sus teléfonos móviles. Sin embargo, en lugar de dirigirse al destino deseado, el código QR redirige a las víctimas a una página de phishing.

Estas campañas, dirigidas a las credenciales de Microsoft, han experimentado un aumento significativo desde mayo de 2023. Esto muestra cómo el simple acto de escanear un código QR en un dispositivo móvil puede eludir las protecciones del entorno empresarial.

Los ataques de ingeniería social, como los relacionados con LAPSUS$ y Muddled Libra, se vuelven más complejos y sofisticados. Los actores de amenazas utilizan tácticas de “vishing” y phishing para obtener acceso no autorizado a sistemas objetivo. Se ha observado que combinan llamadas telefónicas y correos electrónicos para llevar a cabo cadenas de ataques sofisticadas.

En un ejemplo destacado, un actor de amenazas se hizo pasar por un conductor de entrega y solicitó una nueva dirección de entrega al empleado de una organización suiza, quien debía leer en voz alta un código que la empresa de envíos enviaría por correo electrónico. Sin embargo, el archivo adjunto que parecía ser un PDF era en realidad una imagen estática diseñada para parecer un mensaje de Outlook. Este ataque redirigió al destinatario a un sitio web falso que descargaba un ejecutable engañoso. Estos desarrollos preocupantes se producen en medio de crecientes preocupaciones de seguridad relacionadas con colisiones de nombres en el DNS que podrían ser explotadas para filtrar datos sensibles.

fuente:hispasec