Los investigadores de ciberseguridad han llamado la atención sobre una nueva técnica de evasión antivirus que consiste en incrustar un archivo malicioso de Microsoft Word en un archivo PDF.
El método furtivo, denominado MalDoc en PDF por JPCERT/CC, se dice que fue empleado en un ataque en estado salvaje en julio de 2023.
«Un archivo PDF creado con MalDoc se puede abrir en Word aunque tenga números mágicos y la estructura de archivos de PDF», afirman los investigadores Yuma Masubuchi y Kota Kino dicho. «Si el archivo tiene una macro configurada, al abrirlo en Word, VBS se ejecuta y realiza comportamientos maliciosos».
Estos archivos especialmente diseñados se denominan políglotas, ya que son una forma legítima de varios tipos de archivos diferentes, en este caso, tanto PDF como Word (DOC).
Esto implica agregar un archivo MHT creado en Word y con una macro adjunta después del objeto del archivo PDF. El resultado final es un archivo PDF válido que también se puede abrir en la aplicación Word.
Dicho de otra manera; el documento PDF incorpora en sí mismo un documento de Word con una macro VBS que está diseñada para descargar e instalar un archivo de malware MSI si se abre como un archivo .DOC en Microsoft Office. No está claro de inmediato qué malware se distribuyó de esta manera.
«Cuando un documento se descarga de Internet o del correo electrónico, lleva un MotW», afirma el investigador de seguridad Will Dormann dicho. «Como tal, el usuario tendrá que hacer clic en ‘Habilitar edición’ para salir de la Vista protegida. En ese momento aprenderá [sic] que las macros están deshabilitadas.»
Si bien hace poco más de un mes se observaron ataques en el mundo real que aprovechaban MalDoc en PDF, hay evidencia que sugiere que se estaba experimentando («DummymhtmldocmacroDoc.doc«) ya en mayo, destacó Dormann.
El desarrollo se produce en medio de un aumento en las campañas de phishing que utilizan códigos QR para propagar URL maliciosas, una técnica llamada qishing.
«Las muestras que hemos observado utilizando esta técnica están disfrazadas principalmente de notificaciones de autenticación multifactor (MFA), que inducen a sus víctimas a escanear el código QR con sus teléfonos móviles para obtener acceso», Trustwave dicho la semana pasada.
«Sin embargo, en lugar de ir a la ubicación deseada del objetivo, el código QR lo lleva a la página de phishing del actor de la amenaza».
Una de esas campañas dirigida a las credenciales de Microsoft de los usuarios ha experimentado un aumento de más del 2.400% desde mayo de 2023, según Cofense. anotado en agosto, señalando cómo «escanear un código QR en un dispositivo móvil deja al usuario fuera de las protecciones del entorno empresarial».
Los ataques de ingeniería social, como se evidencia en los ataques asociados con LAPSUS$ y Muddled Libra, se están volviendo más elaborados y sofisticados a medida que los actores de amenazas aprovechan tácticas de vishing y phishing para obtener acceso no autorizado a los sistemas de destino.
En un caso destacado por Sophos, una amenaza combinaba señuelos telefónicos y de correo electrónico para lanzar una compleja cadena de ataques contra un empleado de una organización con sede en Suiza.
Detectar, responder, proteger: ITDR y SSPM para una seguridad SaaS completa
Descubra cómo Identity ThreatDetection & Response (ITDR) identifica y mitiga las amenazas con la ayuda de SSPM. Aprenda cómo proteger sus aplicaciones SaaS corporativas y proteger sus datos, incluso después de una vulneración.
«La persona que llamó, cuya voz sonaba como la de un hombre de mediana edad, le dijo al empleado que era un repartidor con un paquete urgente destinado a una de las ubicaciones de la empresa, pero que no había nadie allí para recibir el paquete, y pidió una nueva dirección de entrega en la oficina del empleado», explicó el investigador de Sophos, Andrew Brandt. dicho.
«Para volver a entregar el paquete, continuó, el empleado tendría que leer en voz alta un código que la empresa de envío enviaría por correo electrónico».
El correo electrónico de la supuesta compañía de envío convenció a la víctima de abrir lo que parecía un archivo adjunto en formato PDF que contenía el código, pero en realidad resultó ser una imagen estática incrustada en el cuerpo del mensaje diseñada para ser «como un mensaje de Outlook con un adjunto de correo electrónico.»
El ataque de spam con imágenes falsas finalmente llevaba al destinatario a un sitio web falso a través de una cadena de redireccionamiento que, a su vez, lanzaba un ejecutable engañoso que se hacía pasar por un servicio de paquetes («Universe Parcel Service»), que, cuando se lanzaba, actuaba como un conducto. para entregar scripts de PowerShell adicionales para robar datos y señalar un servicio remoto oculto de TOR.
Los acontecimientos también se producen cuando se han planteado preocupaciones de seguridad en todo el mundo. colisiones de nombres en el Sistema de nombres de dominio (DNS) que podría explotarse para filtrar datos confidenciales.
«Las colisiones de nombres no son las únicas situaciones que pueden causar una [top-level domain] actuar de forma extraña», dijo Cisco Talos. dicho en un artículo reciente. «Algunos no responden adecuadamente cuando se les presentan nombres que han caducado o que nunca existieron».
«En estos TLD, los nombres de dominio no registrados y vencidos aún se resuelven en direcciones IP. Algunos de estos TLD incluso publican registros MX y recopilan correos electrónicos para los nombres en cuestión».