Buenos Aires, 12 de marzo de 2020 - ESET Latinoamérica, compañía líder en la detección proactiva de amenazas, menciona que si bien es usual encontrar documentos del paquete Office siendo utilizados en actividades maliciosas a través de sus macros, sobre todo archivos de Word y Excel, no son los únicos documentos que pueden llegar a ser riesgosos para la seguridad de los equipos. ESET explica cómo también son utilizados los archivos con formato PDF para distribuir malware.
Uno de los formatos más utilizados a nivel mundial para el almacenamiento de documentos es PDF. Si bien su versatilidad es extremadamente útil, también es aprovechada de forma maliciosa por los cibercriminales, quienes utilizan este tipo de archivos como un medio más para infectar a sus objetivos. Si bien las dinámicas empleadas por los cibercriminales al momento de diseñar sus PDF maliciosos son muy variadas, desde ESET mencionan que existen dos “corrientes” principales:
Mediante exploits: El PDF malicioso contiene un exploit capaz de aprovechar una vulnerabilidad en el programa con el cual se abre el archivo, comúnmente conocido como lector de PDF. Cabe destacar que no todos los programas presentan las mismas vulnerabilidades e incluso una versión de un programa podría ser vulnerable y otra no. Un ejemplo de esta dinamica es el archivo PDF malicioso analizado en 2018 por investigadores de ESET, donde se descubrio que utilizaba una vulnerabilidad zero-day que afectaba ciertas versiones del popular lector Adobe Reader y que al ser explotada permitía al atacante ejecutar codigo arbitrario en el equipo de la victima de manera remota.
Mediante scripts: En este caso los PDF maliciosos contienen un script embebido cuya funcionalidad se limita a obtener y ejecutar otro malware más completo, es decir, no suelen ser la amenaza principal. Estos scripts suelen utilizar dos estrategias:
- Descargar el malware desde un sitio externo y ejecutarlo.
- Ejecutar un malware que está embebido como un objeto más dentro del PDF malicioso.
Para que el ataque sea efectivo, es necesario que el script sea ejecutado en forma automática e inmediata cuando el usuario abre el PDF.
Es importante destacar que, al igual que para la ejecución de macros Office, muchos programas lectores de documentos PDF suelen tener protecciones que impiden que el código JavaScript pueda abrir el archivo embebido sin autorización explicita del usuario. Por ejemplo, el Adobe Acrobat Reader muestra un mensaje preguntando si se desea abrir el contenido.
Pie de imagen: Mensaje mostrado por Adobe Acrobat Reader pidiendo autorización al usuario para abrir el archivo .doc embebido
“Aun contando con estos mecanismos de seguridad no debemos desestimar el potencial malicioso de los PDF, ya que un usuario inexperto, distraído o víctima de ingeniería social podría permitir la apertura del archivo. Por otro lado, al abrir archivos que aprovechen la existencia de una vulnerabilidad en el programa para leer PDF no se mostrará ningún mensaje, ya que la explotación ocurrirá sin necesidad de interacción por parte del usuario.“, aconseja Camilo Gutiérrez, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
En conclusión, este formato de archivo tiene mucho potencial para ser utilizado con fines maliciosos, ya sea mediante un archivo adjunto o mediante un exploit. Por lo tanto, a la hora de utilizarlos, ESET destaca que es importante manejarlos con prudencia y emplear buenas prácticas de seguridad:
En el caso de producir archivos con este formato:
- Limpiar cualquier tipo de metadato que pueda dar un indicio de la versión del software con el cual se generó el documento, del sistema operativo, del usuario, etc. De esta manera se reduce el riesgo de que un atacante obtenga información que le sea de utilidad para planificar un ataque dirigido.
En caso de abrir archivos PDF:
- Es esencial contar con algún producto de seguridad capaz de analizar y detener este tipo de amenazas, especialmente en aquellos dispositivos en los cuales se intercambia información con clientes y personas desconocidas, ya que no es posible verificar la confiabilidad del emisor de los documentos.
- Si el software con el cual se abrió el PDF muestra algún formulario preguntando si se quiere abrir, ejecutar o activar alguna funcionalidad del documento en cuestión, es probable que este sea malicioso y conviene verificar su legitimidad.
- Asegurarse de que el software utilizado para visualizar estos documentos esté actualizado a la última versión. De esta manera se reduce el riesgo de ser víctimas de un PDF que contenga un exploit.
Además, ESET acerca una guía para evitar engaños en Internet, así como #quenotepase, con información útil para evitar que situaciones cotidianas afecten la privacidad en línea.
De manera de conocer más sobre seguridad informática ingrese al portal de noticias de ESET: https://www.welivesecurity.com/la-es/2020/03/06/archivos-pdf-utilizados-distribuir-malware/