Los investigadores de ciberseguridad han llamado la atenci\u00f3n sobre una nueva t\u00e9cnica de evasi\u00f3n antivirus que consiste en incrustar un archivo malicioso de Microsoft Word en un archivo PDF.<\/p>\n
El m\u00e9todo furtivo, denominado MalDoc en PDF<\/strong> por JPCERT\/CC, se dice que fue empleado en un ataque en estado salvaje en julio de 2023.<\/p>\n “Un archivo PDF creado con MalDoc se puede abrir en Word aunque tenga n\u00fameros m\u00e1gicos y la estructura de archivos de PDF”, afirman los investigadores Yuma Masubuchi y Kota Kino dicho<\/a>. “Si el archivo tiene una macro configurada, al abrirlo en Word, VBS se ejecuta y realiza comportamientos maliciosos”.<\/p>\n Estos archivos especialmente dise\u00f1ados se denominan pol\u00edglotas, ya que son una forma leg\u00edtima de varios tipos de archivos diferentes, en este caso, tanto PDF como Word (DOC).<\/p>\n Esto implica agregar un archivo MHT creado en Word y con una macro adjunta despu\u00e9s del objeto del archivo PDF. El resultado final es un archivo PDF v\u00e1lido que tambi\u00e9n se puede abrir en la aplicaci\u00f3n Word.<\/p>\n Dicho de otra manera; el documento PDF incorpora en s\u00ed mismo un documento de Word con una macro VBS que est\u00e1 dise\u00f1ada para descargar e instalar un archivo de malware MSI si se abre como un archivo .DOC en Microsoft Office. No est\u00e1 claro de inmediato qu\u00e9 malware se distribuy\u00f3 de esta manera.<\/p>\n “Cuando un documento se descarga de Internet o del correo electr\u00f3nico, lleva un MotW”, afirma el investigador de seguridad Will Dormann dicho<\/a>. “Como tal, el usuario tendr\u00e1 que hacer clic en ‘Habilitar edici\u00f3n’ para salir de la Vista protegida. En ese momento aprender\u00e1 [sic] que las macros est\u00e1n deshabilitadas.”<\/p>\n Si bien hace poco m\u00e1s de un mes se observaron ataques en el mundo real que aprovechaban MalDoc en PDF, hay evidencia que sugiere que se estaba experimentando (“DummymhtmldocmacroDoc.doc<\/a>“) ya en mayo, destac\u00f3 Dormann.<\/p>\n El desarrollo se produce en medio de un aumento en las campa\u00f1as de phishing que utilizan c\u00f3digos QR para propagar URL maliciosas, una t\u00e9cnica llamada qishing.<\/p>\n “Las muestras que hemos observado utilizando esta t\u00e9cnica est\u00e1n disfrazadas principalmente de notificaciones de autenticaci\u00f3n multifactor (MFA), que inducen a sus v\u00edctimas a escanear el c\u00f3digo QR con sus tel\u00e9fonos m\u00f3viles para obtener acceso”, Trustwave dicho<\/a> la semana pasada.<\/p>\n “Sin embargo, en lugar de ir a la ubicaci\u00f3n deseada del objetivo, el c\u00f3digo QR lo lleva a la p\u00e1gina de phishing del actor de la amenaza”.<\/p>\n Una de esas campa\u00f1as dirigida a las credenciales de Microsoft de los usuarios ha experimentado un aumento de m\u00e1s del 2.400% desde mayo de 2023, seg\u00fan Cofense. anotado<\/a> en agosto, se\u00f1alando c\u00f3mo “escanear un c\u00f3digo QR en un dispositivo m\u00f3vil deja al usuario fuera de las protecciones del entorno empresarial”.<\/p>\n Los ataques de ingenier\u00eda social, como se evidencia en los ataques asociados con LAPSUS$ y Muddled Libra, se est\u00e1n volviendo m\u00e1s elaborados y sofisticados a medida que los actores de amenazas aprovechan t\u00e1cticas de vishing y phishing para obtener acceso no autorizado a los sistemas de destino.<\/p>\n En un caso destacado por Sophos, una amenaza combinaba se\u00f1uelos telef\u00f3nicos y de correo electr\u00f3nico para lanzar una compleja cadena de ataques contra un empleado de una organizaci\u00f3n con sede en Suiza.<\/p>\n Detectar, responder, proteger: ITDR y SSPM para una seguridad SaaS completa<\/p>\n <\/a><\/p>\n Descubra c\u00f3mo Identity ThreatDetection & Response (ITDR) identifica y mitiga las amenazas con la ayuda de SSPM. Aprenda c\u00f3mo proteger sus aplicaciones SaaS corporativas y proteger sus datos, incluso despu\u00e9s de una vulneraci\u00f3n. <\/p>\n Potencia tus habilidades<\/a><\/section>\n “La persona que llam\u00f3, cuya voz sonaba como la de un hombre de mediana edad, le dijo al empleado que era un repartidor con un paquete urgente destinado a una de las ubicaciones de la empresa, pero que no hab\u00eda nadie all\u00ed para recibir el paquete, y pidi\u00f3 una nueva direcci\u00f3n de entrega en la oficina del empleado”, explic\u00f3 el investigador de Sophos, Andrew Brandt. dicho<\/a>.<\/p>\n “Para volver a entregar el paquete, continu\u00f3, el empleado tendr\u00eda que leer en voz alta un c\u00f3digo que la empresa de env\u00edo enviar\u00eda por correo electr\u00f3nico”.<\/p>\n El correo electr\u00f3nico de la supuesta compa\u00f1\u00eda de env\u00edo convenci\u00f3 a la v\u00edctima de abrir lo que parec\u00eda un archivo adjunto en formato PDF que conten\u00eda el c\u00f3digo, pero en realidad result\u00f3 ser una imagen est\u00e1tica incrustada en el cuerpo del mensaje dise\u00f1ada para ser “como un mensaje de Outlook con un adjunto de correo electr\u00f3nico.”<\/p>\n El ataque de spam con im\u00e1genes falsas finalmente llevaba al destinatario a un sitio web falso a trav\u00e9s de una cadena de redireccionamiento que, a su vez, lanzaba un ejecutable enga\u00f1oso que se hac\u00eda pasar por un servicio de paquetes (“Universe Parcel Service”), que, cuando se lanzaba, actuaba como un conducto. para entregar scripts de PowerShell adicionales para robar datos y se\u00f1alar un servicio remoto oculto de TOR.<\/p>\n Los acontecimientos tambi\u00e9n se producen cuando se han planteado preocupaciones de seguridad en todo el mundo. colisiones de nombres<\/a> en el Sistema de nombres de dominio (DNS) que podr\u00eda explotarse para filtrar datos confidenciales.<\/p>\n “Las colisiones de nombres no son las \u00fanicas situaciones que pueden causar una [top-level domain] actuar de forma extra\u00f1a”, dijo Cisco Talos. dicho<\/a> en un art\u00edculo reciente. “Algunos no responden adecuadamente cuando se les presentan nombres que han caducado o que nunca existieron”.<\/p>\n “En estos TLD, los nombres de dominio no registrados y vencidos a\u00fan se resuelven en direcciones IP. Algunos de estos TLD incluso publican registros MX y recopilan correos electr\u00f3nicos para los nombres en cuesti\u00f3n”.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/09\/El-nuevo-troyano-SuperBear-surge-en-un-ataque-de-phishing.png\")
<\/a><\/center><\/section>\n![\"MalDoc](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/09\/1693810197_515_Cuidado-con-MalDoc-en-PDF-un-nuevo-ataque-poliglota-que.jpg\" "\\"MalDoc")
<\/div>\n