Los investigadores de ciberseguridad han llamado la atención sobre una nueva técnica de evasión antivirus que implica incrustar un archivo malicioso de Microsoft Word en un archivo PDF.
Se dice que el método furtivo, denominado MalDoc en PDF por JPCERT / CC, se empleó en un ataque en julio de 2023.
“Un archivo creado con MalDoc en PDF se puede abrir en Word a pesar de que tiene números mágicos y estructura de archivos de PDF”, dijeron los investigadores Yuma Masubuchi y Kota Kino. “Si el archivo tiene una macro configurada, al abrirla en Word, VBS se ejecuta y realiza comportamientos maliciosos”.
Estos archivos especialmente diseñados se denominan Polyglot Files, ya que son una forma legítima de múltiples tipos de archivos diferentes, en este caso, tanto PDF como Word (DOC).
Esto implica agregar un archivo MHT creado en Word y con una macro adjunta después del objeto de archivo PDF. El resultado final es un archivo PDF válido que también se puede abrir en la aplicación Word.
Dicho de otra manera; el documento PDF incorpora dentro de sí mismo un documento de Word con una macro VBS que está diseñada para descargar e instalar un archivo de malware MSI si se abre como un archivo .DOC en Microsoft Office. No está claro de inmediato qué malware se distribuyó de esta manera.
Si bien los ataques del mundo real que aprovechan MalDoc en PDF se observaron hace poco más de un mes, hay evidencia que sugiere que se estaba experimentando (“DummymhtmldocmacroDoc.doc“) ya en mayo, destacó Dormann.
El desarrollo se produce en medio de un aumento en las campañas de phishing que utilizan códigos QR para propagar URL maliciosas, una técnica llamada qishing.
“Las muestras que hemos observado utilizando esta técnica se disfrazan principalmente como notificaciones de autenticación multifactor (MFA), que atraen a sus víctimas a escanear el código QR con sus teléfonos móviles para obtener acceso”, dijo Trustwave la semana pasada.
“Sin embargo, en lugar de ir a la ubicación deseada del objetivo, el código QR los lleva a la página de phishing del actor de amenazas”.
Una de esas campañas dirigidas a las credenciales de los usuarios de Microsoft ha sido testigo de un aumento de más del 2.400% desde mayo de 2023, señaló Cofense en agosto, señalando cómo “escanear un código QR en un dispositivo móvil pone al usuario fuera de las protecciones del entorno empresarial”.
Los ataques de ingeniería social, como se evidencia en los ataques asociados con LAPSUS $ y Confdled Libra, se están volviendo más elaborados y sofisticados a medida que los actores de amenazas aprovechan las tácticas de vishing y phishing para obtener acceso no autorizado a los sistemas objetivo.
En un caso destacado por Sophos, un actor de amenazas combinó señuelos telefónicos y de correo electrónico para lanzar una compleja cadena de ataque contra un empleado de una organización con sede en Suiza.
“La persona que llamó, cuya voz sonaba como un hombre de mediana edad, le dijo al empleado que era un conductor de entrega con un paquete urgente destinado a una de las ubicaciones de la compañía, pero que nadie estaba allí para recibir el paquete, y pidió una nueva dirección de entrega en la oficina del empleado”, dijo el investigador de Sophos Andrew Brandt.
“Para volver a entregar el paquete, continuó, el empleado tendría que leer en voz alta un código que la compañía de envío enviaría por correo electrónico”.
El correo electrónico de la supuesta compañía naviera convenció a la víctima de abrir lo que parecía un archivo adjunto PDF que contenía el código, pero en realidad, resultó ser una imagen estática incrustada en el cuerpo del mensaje diseñada para ser “como un mensaje de Outlook con un archivo adjunto de correo electrónico”.
El ataque de spam de imagen falsa finalmente llevó al destinatario a un sitio web falso a través de una cadena de redireccionamiento que, a su vez, dejó caer un ejecutable engañoso disfrazado de servicio de paquete (“Universe Parcel Service”), que, cuando se lanzó, actuó como un conducto para entregar scripts de PowerShell adicionales para robar datos y balizas a un servicio remoto oculto TOR.
En otra campaña destacada por Cyble, se encontró que un script de Visual Basic ejecutado a través de un archivo malicioso de Microsoft Excel empleaba código de PowerShell para descargar una imagen JPG que contenía una carga útil oculta de .NET codificada en Base64, como Agent Tesla, LimeRAT y Remcos RAT, desde un servidor remoto.
