15 abr. 2021

Crean 100.000 páginas web con PDF maliciosos

La utilidad del formato PDF es indiscutible, pero sus problemas de seguridad tampoco admiten discusión. Y esto no es una crítica al formato, claro, ocurre lo mismo que con los documentos de Microsoft Office, algunas de sus funciones pueden ser empleadas con fines malintencionados, y el principal problema de seguridad pasa por la descarga u obtención, por cualquier medio, de documentos de los que desconocemos el origen.

El ejemplo más claro de ello lo encontramos en el malware que se difunde por correo electrónico, apelando a la curiosidad del usuario. No debe quedar ya nadie sobre la faz de la Tierra que no haya recibido un correo electrónico con un documento en formato PDF, DOCX o XLSX, de un remitente desconocido y con una factura o un presupuesto que, por supuesto, no esperamos. O también puede ser un supuesto listado de contraseñas u otros ganchos similares, suficientemente tentadores para que algún usuario incauto caiga en el engaño y lo abra, dando paso así al malware en su sistema.

Afortunadamente, con los años los usuarios han ido cobrando más consciencia sobre estos riesgos y, en consecuencia, cada vez son más los PDF recibidos por esta vía que van directos desde la bandeja de entrada hasta la papelera. Sin abrir, por supuesto. Esto ha ocasionado que los ciberdelincuentes estudien y prueben nuevas vías de difusión con las que lograr que su malware vuelva a ser tan efectivo como antaño. Y, desgraciadamente, en ocasiones encuentran la manera de lograrlo.

Y un nuevo caso, como ha detectado la empresa de ciberseguridad eSentire, apunta a una vía muy inteligente para hacer llegar documentos PDF maliciosos a sus potenciales víctimas. La técnica consiste en crear páginas web de recursos profesionales útiles (plantillas de facturas, de presupuestos, escritos, etcétera) con los PDF, con la intención de que los usuarios crean que dichas páginas son fiables, así como su contenido, y los descarguen y abran, infectando así sus ordenadores.

Para lograr atraer al máximo volumen posible de usuarios a estas páginas y que, de este modo, descarguen los PDF maliciosos, estos ciberdelincuentes ponen el foco en el SEO de dichas páginas, en lo que se denomina SEP (Search Engine Poisoning). De este modo, cuando un usuario busca una plantilla para una factura o un currículum, los buscadores mostrarán las páginas maliciosas entre los primeros resultados, y muchos usuarios caerán en la trampa, descargando el malware sin saber que lo es.

Una vez descargados y abiertos, los PDF de estas páginas proceden a instalar una RAT (Remote Access Tool) con la que hacerse con el control del sistema, que podrán emplear posteriormente con tantos fines como deseen. Adicionalmente, pueden emplear esta herramienta para garantizarse un acceso persistente al sistema incluso si la RAT es eliminada del mismo.

  • Los atacantes implementaron más de 100.000 páginas web a través de Google Sites. Los beneficios de estar alojado en la infraestructura de Google son varios. En primer lugar, tanto los dispositivos de seguridad como los ojos humanos confían en Google. En segundo lugar, probablemente no perjudique su puntuación de PageRank con Google utilizar la infraestructura de Google. Las páginas también están rellenas con palabras clave de texto generadas, una táctica que probablemente se use para influir aún más en los resultados de búsqueda.
  • Han creado decenas de cientos de páginas web con términos comerciales populares, como factura, estado de cuenta, recibo, cuestionario, de modo que cuando un profesional de negocios busca en Internet una plantilla comercial específica, existe la posibilidad de que la parte superior Los resultados de la búsqueda incluirán una de sus páginas maliciosas.
  • El proceso de infección se basa en explotar al usuario, no a una aplicación. El usuario simplemente ejecuta un binario disfrazado de PDF para infectar la máquina. Esta es una tendencia cada vez más común con la entrega de malware, que habla de la seguridad mejorada de aplicaciones como los navegadores que manejan código vulnerable. Desafortunadamente, revela un punto ciego evidente en los controles que permiten a los usuarios ejecutar binarios o archivos de script que no son de confianza a voluntad.

Las empresas responsables de los principales buscadores persiguen el SEP, pero aún así son bastantes los sitios web que consiguen colarse un tiempo entre los resultados legítimos, y la extendida y errónea creencia de que si algo aparece en un buscador es que es fiable, ocasiona que muchos usuarios caigan en trampas de este estilo de manera habitual. El caso de estos PDF es el último, pero hemos conocido otros muchos en el pasado.

Fuente: Muy Seguridad

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!