MalDoc en PDF: nuevo ataque malicioso

JPCERT ha advertido sobre una nueva técnica de ataque que elude la detección al incrustar archivos de Word maliciosos en archivos PDF.

La táctica, denominada ‘MalDoc en PDF’, utiliza políglotas para confundir las herramientas de análisis y evadir la detección. Los políglotas contienen dos formatos de archivo, sin embargo, se interpretan y ejecutan como más de un tipo de archivo, dependiendo de la aplicación que los lea o los abra.

Detalles de la campaña

• En esta campaña en particular, los documentos maliciosos utilizaron una combinación de archivos PDF y Word. 
• El PDF contenía un documento de Word incrustado con una macro VBS que descargaba e instalaba malware si se abría como un archivo .doc. 
• Sin embargo, la agencia no reveló el tipo de malware instalado.

Ventajas y limitaciones 

• La técnica de incrustar un tipo de archivo dentro de otro no es nueva; sin embargo, utilizar archivos políglotas para evadir la detección es un enfoque novedoso, según JPCERT.
• La ventaja para los atacantes es que las herramientas tradicionales de análisis de PDF sólo examinan la capa exterior, lo que permite que el contenido malicioso pase desapercibido. 
• Aún así, otras herramientas de análisis como ‘ OLEVBA’ aún pueden detectar el contenido oculto, por lo que múltiples capas de defensa son efectivas contra esta amenaza.

Dicho esto, sepa que el ataque MalDoc en PDF no pasa por alto las configuraciones de seguridad que desactivan la ejecución automática de macros en Microsoft Office.

La agencia ha compartido una regla YARA para ayudar a los defensores e investigadores a identificar los archivos utilizados en la última técnica de ataque. Además, dado que los archivos se reconocen como PDF, las organizaciones deben tener cuidado con los resultados de detección obtenidos del análisis automatizado de malware.