¿Qué es «MalDoc en PDF»?
El equipo de respuesta a emergencias informáticas de Japón, JPCERT, ha detectado un nuevo ataque «MalDoc en PDF» en julio de 2023. Este ataque elude la detección al incrustar archivos Word maliciosos en PDFs.
¿Cómo Funciona?
Los archivos usados en este ataque son políglotos, reconocidos por la mayoría de las herramientas de escaneo como PDFs. Sin embargo, las aplicaciones de oficina pueden abrirlos como documentos Word regulares (.doc).
Estos documentos maliciosos son una combinación de PDF y Word, pudiendo ser abiertos en cualquiera de los dos formatos.
Objetivo de los Atacantes
Los actores de amenazas utilizan políglotos para evadir la detección o confundir herramientas de análisis. Estos archivos pueden parecer inofensivos en un formato, pero ocultan código malicioso en el otro.
En este caso, el documento PDF contiene un documento Word con una macro VBS que descarga e instala un archivo de malware MSI si se abre como un archivo .doc en Microsoft Office.
Protecciones y Evasión
Es importante señalar que «MalDoc en PDF» no elude las configuraciones de seguridad que desactivan la auto-ejecución de macros en Microsoft Office. Los usuarios deben desactivar manualmente estas protecciones.
Técnica Novedosa
Aunque incrustar un tipo de archivo dentro de otro no es nuevo, la técnica específica es innovadora, según JPCERT. La ventaja principal para los atacantes es la capacidad de evadir herramientas de análisis de PDF tradicionales.
Sin embargo, otras herramientas de análisis aún pueden detectar el contenido malicioso oculto.
Defensas y Detección
La agencia de ciberseguridad también compartió una regla Yara para ayudar a investigadores y defensores a identificar archivos que utilizan la técnica «MalDoc en PDF».
Esta regla verifica si un archivo comienza con una firma PDF y contiene patrones indicativos de un documento Word, libro de Excel o un archivo MHT.
