Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Nuevos métodos de distribución del Malware QBot


A la hora de propagar malware or correo son muchos los delincuentes que simplemente tratan de colar sus archivos ejecutables usando formatos menos conocidos o empaquetándolos dentro de ficheros comprimidos en formatos ZIP, RAR o similares. Sin embargo existen otros métodos que también son usados con finalidad maliciosa y, de los cuales, muchos usuarios aun no son conscientes, pensando que un archivo de ese tipo no puede suponer ningún problema de seguridad para su sistema.




El archivo puente: cuando el PDF sí es un PDF, pero intenta engañarnos

En otros casos, el engaño en más sutil, y el documento del formato prometido nos induce a descargar otro, ejecutable y malicioso. El blog corporativo de la compañía de ciberseguridad ESET desvelaba hace unos días un ejemplo de esto…


…una campaña que hace uso de un e-mail en inglés en el que alguien nos envía una letra de cancelación (empleada para cancelar o extinguir un servicio o un contrato) que, una vez descargado, sí resulta ser un fichero PDF, como prometía…

pero sólo nos muestra un supuesto aviso del lector de documentos (no es tal, sólo es el aspecto del PDF)  en el que se nos anima a pulsar un botón. En español, viene a decir lo siguiente:

"Este documento contiene archivo protegidos, para mostrarlos, haz clic en el botón de 'open'".

Con respecto al archivo adjunto al email, comprobamos como se trata de un fichero PDF que, al abrirse, muestra un mensaje indicando que el documento contiene archivos protegidos y es necesario pulsar sobre el botón OPEN para poder visualizarlos. Sin embargo, solo con pasar el cursor del ratón por encima de dicho botón comprobamos que se nos intenta redirigir a un enlace externo para descargar un fichero comprimido.






 Basta con situar el cursor sobre el botón en cuestión para comprobar que tan sólo es un hiperenlace a un archivo comprimido (.zip) colgado en una página web.

Comprobar qué nos estamos bajando

Si el fichero nos llega por e-mail, el cliente de correo nos indicará la extensión de archivo y/o nombre del formato real del fichero. En el ejemplo correspondiente a la estafa anterior, vemos —por el icono— que lo que nos llega es un verdadero PDF:

 Primero, probemos el truco de antes: situar el cursor sobre el botón/enlace y comprobar qué dirección aparece en el aviso emergente.


Comportamiento inesperado

Si al abrir lo que nosotros pensamos que es un documento legible se despliega una ventana de terminal o una ventana con un listado de archivos, desconfiemos: no es así como se comportan los archivos PDF o de Office.

El fichero final descarga ZIP contiene en su interior un archivo en formato WSF (Windows Script File), que permite mezclar varios tipos de lenguajes de secuencias de comandos para así ejecutar código. Esta fase de descarga es similar a la que vemos normalmente cuando analizamos otras amenazas que no incluyen un archivo con un formato aparentemente inofensivo para muchos usuarios como PDF.

Al final, todo ese código sirve para ejecutar un comando en PowerShell que también se encuentra altamente ofuscado para que no sea fácil saber cual es su finalidad. No obstante, en este tipo de amenazas, la ejecución de código en PowerShell suele estar relacionada con la descarga de un malware de segunda fase que es el que termina comprometiendo la seguridad del sistema y realizando las actividades maliciosas planeadas por los delincuentes.




Desconfiemos si:

  • La interfaz no es la habitual que conocemos de otras veces que hemos abierto un PDF.
  • La interfaz está en inglés, mientras que nuestro sistema operativo está en español.
  • El programa que se muestra no es nuestro lector de PDFs por defecto (suelen suplantar a los más populares, pero si nosotros tenemos uno más minoritario el engaño será más fácil de detectar).
  • Se nos pide realizar acciones inesperadas, como rellenar un captcha para acceder a un PDF (ver imagen anterior).



0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.