Clicky

Cuidado con MalDoc en PDF: un nuevo ataque políglota permite a los atacantes evadir el antivirus

MalDoc en PDF

El documento PDF incorpora en sí mismo un documento de Word

Investigadores de ciberseguridad han llamado la atención sobre una nueva técnica de evasión antivirus que consiste en incrustar un archivo malicioso de Microsoft Word en un archivo PDF.

Se dice que el método furtivo, denominado MalDoc en PDF por JPCERT/CC, se empleó en julio de 2023 en un ataque en la naturaleza.

"Un archivo creado con MalDoc en PDF se puede abrir en Word aunque tenga números mágicos y la estructura de archivo de PDF", dijeron los investigadores Yuma Masubuchi y Kota Kino. "Si el archivo tiene una macro configurada, al abrirlo en Word, se ejecuta una macro VBS y realiza comportamientos maliciosos".

Estos archivos especialmente diseñados se denominan políglotas, ya que son una forma legítima de varios tipos de archivos diferentes, en este caso, tanto PDF como Word (DOC).

Esto implica agregar un archivo MHT creado en Word y con una macro adjunta después del objeto del archivo PDF. El resultado final es un archivo PDF válido que también se puede abrir en la aplicación Word.

Dicho de otra manera; el documento PDF incorpora en sí mismo un documento de Word con una macro VBS que está diseñada para descargar e instalar un archivo de malware MSI si se abre como un archivo .DOC en Microsoft Office. No está claro de inmediato qué malware se distribuyó de esta manera.

"Cuando un documento se descarga de Internet o del correo electrónico, llevará un MotW", dijo el investigador de seguridad Will Dormann. "Como tal, el usuario tendrá que hacer clic en 'Habilitar edición' para salir de la Vista protegida. En ese momento sabrá [sic] que las macros están deshabilitadas".

Si bien hace poco más de un mes se observaron ataques en el mundo real que aprovechaban MalDoc en PDF, hay evidencia que sugiere que se estaba experimentando ("DummymhtmldocmacroDoc.doc") ya en mayo, destacó Dormann.

El desarrollo se produce en medio de un aumento en las campañas de phishing que utilizan códigos QR para propagar URL maliciosas, una técnica llamada qishing.

"Las muestras que hemos observado utilizando esta técnica están disfrazadas principalmente de notificaciones de autenticación multifactor (MFA), que inducen a sus víctimas a escanear el código QR con sus teléfonos móviles para obtener acceso", dijo Trustwave la semana pasada.

"Sin embargo, en lugar de ir a la ubicación deseada del objetivo, el código QR lo lleva a la página de phishing del actor de la amenaza".

MalDoc en PDF, detalle

Una de estas campañas dirigida a las credenciales de Microsoft de los usuarios ha experimentado un aumento de más del 2.400% desde mayo de 2023, señaló Cofense en agosto, señalando cómo "escanear un código QR en un dispositivo móvil coloca al usuario fuera de las protecciones del entorno empresarial".

Los ataques de ingeniería social, como se evidencia en los ataques asociados con LAPSUS$ y Muddled Libra, se están volviendo más elaborados y sofisticados a medida que los actores de amenazas aprovechan tácticas de vishing y phishing para obtener acceso no autorizado a los sistemas de destino.

En un caso destacado por Sophos, un actor de amenazas combinó señuelos telefónicos y de correo electrónico para lanzar una compleja cadena de ataques contra un empleado de una organización con sede en Suiza.

"La persona que llamó, cuya voz sonaba como la de un hombre de mediana edad, le dijo al empleado que era un repartidor con un paquete urgente destinado a una de las ubicaciones de la empresa, pero que no había nadie allí para recibir el paquete, y pidió una nueva dirección de entrega en la oficina del empleado", dijo el investigador de Sophos, Andrew Brandt.

"Para volver a entregar el paquete, continuó, el empleado tendría que leer en voz alta un código que la empresa de envío enviaría por correo electrónico".

El correo electrónico de la supuesta compañía de envío convenció a la víctima de abrir lo que parecía un archivo adjunto en formato PDF que contenía el código, pero en realidad resultó ser una imagen estática incrustada en el cuerpo del mensaje diseñada para ser "como un mensaje de Outlook con un adjunto de correo electrónico."

El ataque de spam con imágenes falsas finalmente llevó al destinatario a un sitio web falso a través de una cadena de redireccionamiento que, a su vez, lanzó un ejecutable engañoso disfrazado de servicio de paquetes ("Universe Parcel Service"), que, cuando se lanzó, actuó como un conducto para entregar scripts de PowerShell adicionales para robar datos y dirigirse a un servicio remoto oculto de TOR.

En otra campaña destacada por Cyble, se descubrió que un script de Visual Basic ejecutado a través de un archivo malicioso de Microsoft Excel empleaba código PowerShell para descargar una imagen JPG que contenía una carga útil .NET oculta codificada en Base64, como Agent Tesla, LimeRAT y Remcos RAT desde un servidor remoto.

Los acontecimientos también llegan cuando han surgido preocupaciones de seguridad en torno a las colisiones de nombres en el Sistema de nombres de dominio (DNS) que podrían explotarse para filtrar datos confidenciales.

"Las colisiones de nombres no son las únicas situaciones que pueden causar que un [dominio de nivel superior] actúe de manera extraña", dijo Cisco Talos en un artículo reciente. "Algunos no responden adecuadamente cuando se les presentan nombres que han caducado o que nunca existieron".

"En estos TLD, los nombres de dominio no registrados y vencidos aún se resuelven en direcciones IP. Algunos de estos TLD incluso publican registros MX y recopilan correos electrónicos para los nombres en cuestión".

Jesus_Caceres