Los investigadores de ciberseguridad de HP Wolf Security han detectado una nueva campaña de ciberdelincuencia que explota archivos PDF para intentar distribuir el registrador de teclas Snake a puntos finales vulnerables.

Según los investigadores, los actores de amenazas primero enviarían un correo electrónico con el asunto «Factura de remesa», para intentar engañar a las víctimas haciéndoles creer que se les pagará por algo.

El correo electrónico contendría un archivo PDF como archivo adjunto, lo que puede asegurar a la víctima que el correo electrónico es legítimo, ya que los archivos de Word o Excel suelen ser sospechosos.

Abuso de un defecto conocido

Sin embargo, un documento de Word, titulado «ha sido verificado», está incrustado en el PDF. Cuando la víctima abre el archivo adjunto, recibe un mensaje que le pregunta si desea abrir o no el segundo archivo. El mensaje dice «El archivo ‘ha sido verificado’. Sin embargo, los archivos PDF, jpeg, xlsx, docx pueden contener programas, macros o virus».

Esto podría engañar a la víctima haciéndole creer que su lector de PDF ha escaneado el archivo y está listo para funcionar.

El archivo de Word, como es de esperar, viene con una macro que, si está habilitada, descargará un archivo RTF (formato de texto enriquecido) desde una ubicación remota y lo ejecutará. Luego, el archivo intentaría descargar Snake Keylogger, una pieza de malware descrita por BleepingComputer como un «ladrón de información modular con persistencia poderosa, evasión de defensa, acceso a credenciales, datos y exfiltración de datos».

Los puntos finales de destino siempre deben ser vulnerables a un defecto específico, si se quiere que el ataque tenga éxito. Los investigadores descubrieron que los atacantes intentaban explotar CVE-2017-11882, un error de ejecución remota de código en Equation Editor.

La falla se corrigió en noviembre de 2017, pero no todos los administradores de dispositivos mantienen sus sistemas operativos actualizados. Aparentemente, esta fue una de las vulnerabilidades más populares para explotar en 2018, ya que las organizaciones y los consumidores tardaron relativamente en solucionarlo.

Vía: BleepingComputer

Share This