Vivimos en una era donde prácticamente toda nuestra información vital está en un ordenador o un dispositivo móvil. Por esto mismo, la seguridad informática ha ganado un peso brutal los últimos años, puesto que es totalmente imprescindible que nuestros equipos estén lo mejor protegidos que se pueda para hacer frente a ataques de todo tipo. El problema es que los ciberdelincuentes aprovechan cualquier resquicio para atacarnos, y este archivo PDF es una prueba bastante evidente de ello.
Todos estamos más que acostumbrados a estar revisando nuestro correo electrónico constantemente, más ahora que es una herramienta fundamental para el trabajo. Si no estamos atentos y abrimos el archivo que no es podríamos estar instalando en nuestro ordenador algún malware que puede salirnos muy caro.
Un archivo PDF con un peligroso keylogger
Lo primero que debemos reseñar es que es bastante curioso que los ciberdelincuentes responsables de esta «oleada» de PDFs infectados se hayan decantado por este tipo de archivos. Por norma general, este tipo de intentos se suelen relacionar más con archivos de la Office de Microsoft, como son Word y Excel. En este caso, el PDF fraudulento lo que busca es instalar en nuestro ordenador un tipo de malware llamado Snake.
Este es, en realidad, un keylogger. Este tipo de software malicioso lo que hace es registrar todas las pulsaciones que hace un usuario en su teclado, por lo que de esta manera es capaz de registrar contraseñas y credenciales de todo tipo para transmitirlas a un servidor controlado por un ciberdelincuente. Este se detectó por primera vez allá por 2020, y desde entonces son varias las oleadas que han podido ser registradas.
Un keylogger registra todas nuestras pulsaciones en el teclado.
La forma de proceder de este ataque es realmente curiosa. El PDF que llega a las bandejas tiene el nombre de «REMMITANCE INVOICE.pdf» y lleva incrustado un Word con un nombre muy raro. Este, traducido al español, sería algo así como «ha sido verificado. Sin embargo PDF, jpeg, xlsx, .docs». La razón de ser de este nombre es por lo que decimos que se trata de un intento bastante curioso, ya que precisamente con él lo que busca es pillar desprevenidas a las personas que abran el correo rápidamente y sin prestar atención, ya que cuando Adobe abre el archivo parecerá que está indicando que está verificado y que abrirlo no conlleva ningún tipo de peligro.
Cuidado al abrir archivos desconocidos
Al analizar el interior del archivo Word que hemos citado más arriba se pudo comprobar que dentro había una URL incrustada que descarga en el equipo un objeto de vinculación e integración de objetos (OLE). Este contendría dentro un shellcode que explota la vulnerabilidad registrada CVE-2017-11882, y gracias a ella se descargaría en nuestro equipo un ejecutable llamado fresh.exe que es en realidad el malware Snake.
El hecho de que este malware ya lleve en activo varios años, y se siga utilizando para explotar vulnerabilidades como esta es indicativo de que aunque la seguridad de nuestros equipos va mejorando nunca podemos decir que estamos cubiertos al 100 %. Como siempre os decimos por aquí, evitad descargar o abrir cualquier tipo de archivo si desconocéis su procedencia o preguntad al remitente si efectivamente se trata de un archivo legítimo.
No hay comentarios:
Publicar un comentario