Los expertos en ciberseguridad han señalado una novedosa técnica de evasión de antivirus que implica la inserción de un archivo malicioso de Microsoft Word en un archivo PDF.
Este astuto método, bautizado como «MalDoc in PDF» por JPCERT/CC, se dice que se utilizó en un ataque en el entorno real en julio de 2023.
Estos archivos especialmente diseñados son conocidos como «políglotas«, ya que constituyen una forma legítima de varios tipos de archivos diferentes, en este caso, tanto PDF como Word (DOC).
Esto implica la adición de un archivo MHT creado en Word y con una macro adjunta después del objeto de archivo PDF. El resultado final es un archivo PDF válido que también puede abrirse en la aplicación Word.
Dicho de otra manera, el documento PDF se incorpora a sí mismo como un documento de Word con una macro VBS diseñada para descargar e instalar un archivo de malware MSI si se abre como un archivo .DOC en Microsoft Office. No está claro de inmediato qué tipo de malware se distribuyó de esta manera.
Aunque los ataques del mundo real que utilizan MalDoc in PDF se observaron hace un poco más de un mes, existen pruebas que sugieren que se estaba experimentando con esta técnica («DummymhtmldocmacroDoc.doc«) ya en mayo, según destacó Dormann.
Este desarrollo tiene lugar en medio de un aumento en las campañas de phishing que emplean códigos QR para propagar direcciones URL maliciosas, una técnica conocida como «qishing«.
Una campaña de este tipo que apunta a las credenciales de Microsoft de los usuarios ha experimentado un aumento de más del 2,400% desde mayo de 2023, según señaló Cofense en agosto, destacando cómo «escanear un código QR en un dispositivo móvil coloca al usuario fuera de las salvaguardias del entorno empresarial».
Los ataques de ingeniería social, como se evidencian en los ataques asociados con LAPSUS$ y Muddled Libra, se vuelven más intrincados y avanzados a medida que los actores de amenazas aprovechan tácticas de voz (vishing) y de suplantación de identidad (phishing) para obtener acceso no autorizado a sistemas objetivo.
En una instancia resaltada por Sophos, un actor malicioso combinó señuelos telefónicos y de correo electrónico para ejecutar una cadena de ataques compleja contra un empleado de una organización con sede en Suiza.
El correo electrónico supuestamente enviado por la empresa de envíos logró convencer a la víctima de abrir lo que parecía ser un archivo PDF que contenía el código. Sin embargo, en realidad resultó ser una imagen estática incrustada en el cuerpo del mensaje, diseñada para parecer «exactamente como un mensaje de Outlook con un archivo adjunto de correo electrónico».
El ataque de spam con imágenes falsas finalmente llevó al receptor a un sitio web fraudulento mediante una cadena de redireccionamiento que, a su vez, descargó un archivo ejecutable engañoso que se hacía pasar por un servicio de paquetería denominado «Servicio de Paquetes Universales». Cuando se ejecutó, actuó como un conducto para entregar scripts adicionales de PowerShell destinados a robar datos y enviar señales a un servicio oculto de TOR remoto.
En otra campaña destacada por Cyble, se descubrió que un Script de Visual Basic ejecutado a través de un archivo de Microsoft Excel malicioso empleaba código PowerShell para descargar una imagen JPG que contenía una carga útil oculta en Base64 de .NET, como Agent Tesla, LimeRAT y Remcos RAT, desde un servidor remoto.
Estos acontecimientos también coinciden con preocupaciones en materia de seguridad relacionadas con colisiones de nombres en el Sistema de Nombres de Dominio (DNS) que podrían ser explotadas para filtrar información confidencial.