Maldoc: Ataque que oculta archivos maliciosos de Word en PDFs

Expertos en seguridad del equipo de respuesta a emergencias informáticas de Japón (JPCERT) ha generado un reporte acerca de un novedoso tipo de ataque «MalDoc en PDF», detectado por primera vez en julio de 2023, capaz de eludir la detección incrustando archivos Word maliciosos en PDF.

La técnica se basa en el concepto de archivos políglotas. Un archivo políglota es un tipo de archivo informático diseñado para ser válido y funcional en varios formatos o aplicaciones simultáneamente. Esencialmente, es un único archivo que puede interpretarse de forma diferente según el software que lo abra.

El archivo muestreado por JPCERT es un archivo políglota reconocido por la mayoría de los motores y herramientas de escaneado como un PDF, aunque las aplicaciones ofimáticas pueden abrirlo como un documento de Word normal (.doc). Por ejemplo, los documentos maliciosos de esta campaña son una combinación de documentos PDF y Word, que pueden abrirse como cualquiera de los dos formatos de archivo.

Normalmente, los actores de amenazas utilizan políglotas para eludir la detección o confundir a las herramientas de análisis, ya que estos archivos pueden parecer inofensivos en un formato mientras ocultan código malicioso en el otro.

En estos tipos de ataques, el documento PDF contiene un documento de Word con una macro VBS para descargar e instalar un archivo malicioso MSI si se abre como archivo .doc en Microsoft Office. Sin embargo, el CERT de Japón no dio detalles sobre el tipo de malware instalado.

Fig. 1. Vista de volcado del archivo malicioso (JPCERT)

Sin embargo, hay que señalar que MalDoc in PDF no elude la configuración de seguridad que desactiva la autoejecución de macros en Microsoft Office, por lo que siguen siendo protecciones adecuadas que los usuarios deben desactivar manualmente haciendo clic en el botón correspondiente o desbloqueando el archivo. Por lo tanto, es importante tener en cuenta que este ataque depende de que las macros estén activadas en el ordenador de la víctima; desactivar las macros sigue siendo una medida de seguridad eficaz.

JPCERT ha publicado un vídeo en YouTube [1] para demostrar cómo aparece y funciona MalDoc en archivos PDF en Windows.

Aunque incrustar un tipo de archivo dentro de otro no es nuevo, ya que los atacantes que despliegan archivos políglotas para eludir la detección están bien documentados, la técnica específica es novedosa, afirma la entidad JPCERT.

La principal ventaja de MalDoc en PDF para los atacantes es la capacidad de eludir la detección por parte de herramientas tradicionales de análisis de PDF como ‘pdfid’ u otras herramientas de análisis automatizado que sólo examinarán la capa externa del archivo, que es una estructura PDF legítima.

Contramedidas contra MalDoc en PDF

El organismo de ciberseguridad JPCERT indica que la herramienta de análisis de archivos Word maliciosos OLEVBA es una contramedida eficaz contra MalDoc. Como se muestra en la Fig. 2, OLEVBA muestra las macros incrustadas, por lo que las partes maliciosas del archivo pueden comprobarse con los resultados del análisis de la herramienta.

Fig. 2. Resultados de la exploración OLEVBA (JPCERT)

La agencia de ciberseguridad también compartió una regla de Yara para ayudar a investigadores y defensores a identificar archivos que utilicen la técnica «MalDoc en PDF».

La regla comprueba si un archivo comienza con una firma PDF y contiene patrones indicativos de un documento de Word, un libro de Excel o un archivo MHT, lo que coincide con la técnica de evasión detectada por JPCERT.

Fig. 3. Regla Yara (JPCERT)

Cómo protegerse de documentos maliciosos

Los hackers tienen muchas herramientas diferentes en su arsenal, pero los documentos maliciosos siguen siendo uno de los más populares después de las aplicaciones maliciosas. Por esta razón, es necesario ser extremadamente cuidadoso al abrir cualquier archivo que llegue a la bandeja de entrada o que haya sido descargado en línea.

Aunque descargar archivos de amigos, familiares y compañeros de trabajo suele estar bien, hay que estar atentos a cualquier señal de alarma que pueda indicar que el correo electrónico no procede de fuentes confiables. Esto incluye errores ortográficos y gramaticales, así como un lenguaje que busque infundir una sensación de urgencia para responder o abrir un archivo.

Ahora que JPCERT ha sacado a la luz los ataques de MalDoc en PDF, es posible que los piratas informáticos intenten hacer algo similar utilizando otro tipo de archivo. Sin embargo, siempre que el usuario tenga precaución en Internet y evite descargar archivos adjuntos o archivos de sitios web sospechosos, será menos probable que caiga en este tipo de ataques.

Referencia:

[1] https://youtu.be/mIx_chLuVCI

[2] https://blogs.jpcert.or.jp/en/2023/08/maldocinpdf.html

Webinars

¿Te perdiste el en vivo? ¡Míralo ahora!

Síguenos
Suscríbete

Recibe nuestro boletín para mantenerte actualizado