Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
▼
2023
(Total:
710
)
-
▼
septiembre
(Total:
65
)
- LaLiga de España presenta MOOD, un sistema de moni...
- Seagate logra la peor tasa de fallos SSD en un est...
- Vivaldi llega a iOS ofreciendo privacidad y manten...
- ¿Cómo detectar si un texto fue escrito con Intelig...
- Raspberry Pi 5
- Microsoft quiere usar energía nuclear en sus centr...
- La FCC quiere recuperar la Neutralidad de Red
- RedPersist una herramienta de persistencia en Wind...
- Sony víctima de un ciberataque con filtración de 2...
- Meta Quest 3: en octubre por 500 dólares
- Signal Messenger presenta el cifrado a prueba de a...
- Cómo recuperar tu cuenta de WhatsApp robada: guía ...
- ChatGPT ahora puede ver, oír y hablar
- Amazon invertirá hasta 4.000 millones de dólares e...
- El 95 % de los NFT ya no valen nada
- Falso exploit para vulnerabilidad WinRAR infecta c...
- Microsoft desvela la nueva actualización de Window...
- Relay privado de iCloud
- OpenAI anuncia DALL-E 3 y lo integra de forma nati...
- El gobierno de Sri Lanka pierde meses de datos tra...
- El actor Stephen Fry denuncia el robo de su voz me...
- Bard ahora puede interactuar con aplicaciones de G...
- Así es el último phishing a través de Wallapop
- Elon Musk comienza "el reclutamiento" de humanos p...
- El tribunal y la FTC aseguran que Microsoft ha fil...
- Elon Musk quiere que Twitter sea de pago para todo...
- Twitter pedirá una identificación oficial para evi...
- Microsoft expone por error 38TB datos sensibles de...
- DeepNude: la aplicación que "desnuda" a cualquier ...
- Unity cambiará su tarifa basada en las veces que s...
- Lazarus robó 54 millones de dólares del exchange C...
- Federación Holandesa de Fútbol (KNVB) pagó un resc...
- MGM y Caesars Palace, hackeados con ransomware en ...
- Ransomware paraliza servicios en múltiples países:...
- ThemeBleed: exploit para vulnerabilidad en theme d...
- Irlanda multa a TikTok con 345 millones de euros p...
- Colombia: activan protocolos de emergencias por ra...
- Nueva función de Windows 11 bloquea los ataques ba...
- 3AM es un nuevo ransomware escrito en Rust
- iPhone 15 limitará la carga de la batería para red...
- Ciberataque masivo en Colombia: los portales y ser...
- Atacantes chinos robaron la clave de firma de Micr...
- Francia retira el iPhone 12 por emisiones de ondas...
- Dennis Austin: la mente detrás de PowerPoint, el p...
- Inyección de prompts: el mayor fallo de seguridad ...
- WhatsApp será compatible con Telegram, Signal y ot...
- Microsoft elimina los controladores de impresoras ...
- Vulnerabilidades en iMessage de Apple para infecta...
- Un youtuber pierde 50.000 dólares en criptomonedas...
- Google habilita la protección contra phishing en t...
- Microsoft te protegerá legalmente si alguien te de...
- El hackeo de LastPass habría facilitado el robo de...
- Las fabricas de Toyota se detuvieron por un disco ...
- La Comisión Europea designa a Google, WhatsApp y T...
- Rockstar está vendiendo sus juegos crackeados en S...
- Los ‘deepfakes’ de voz van a por tus ahorros
- Presionar INTRO para omitir el cifrado completo de...
- Un ciberataque paraliza al Ayuntamiento de Sevilla...
- Dimite el jefe de la Policía de Irlanda del Norte ...
- Extensiones del navegador maliciosas
- Archivo malicioso de Microsoft Word en un archivo ...
- Qishing: phishing en códigos QR
- Microsoft eliminará Wordpad de Windows tras cerca ...
- Acusan a escolares de manipular fotos de sus compa...
- X (Twitter) ahora podrá recopilar tus datos biomét...
-
▼
septiembre
(Total:
65
)
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
En la Operación Torpedo el FBI utilizó Metasploit Framework , un software totalmente libre construido originalmente sobre lenguaje Perl y p...
-
Recientemente, 2K Games ha sufrido un ataque dentro de su plataforma de soporte técnico. Dicha plataforma, fue hackeada y utilizada para...
Archivo malicioso de Microsoft Word en un archivo PDF: «MalDoc en PDF»
Expertos en ciberseguridad del equipo de JPCERT/CC han alertado sobre una ingeniosa técnica de elusión de antivirus que implica la inserción de un archivo malicioso de Microsoft Word en un archivo PDF, este desarrollo en medio de un aumento en las campañas de ingeniería social supone una creciente preocupación por los expertos, que advierten sobre nuevas técnicas para evadir las protecciones en los sistemas.
Esta táctica astuta, bautizada como «MalDoc en PDF» por el equipo de JPCERT/CC, se ha descubierto al ser utilizada en un ataque real en julio de 2023.
«Un archivo creado con MalDoc en PDF puede abrirse en Word, a pesar de tener la estructura y los números mágicos propios de un archivo PDF. Si el archivo está configurado con una macro, al abrirlo en Word, se ejecutará un script VBS que realizará acciones perjudiciales».
Investigadores Yuma Masubuchi y Kota Kino del JPCERT/CC.
Estos archivos especialmente diseñados se conocen como «políglotos», ya que combinan legítimamente múltiples tipos de archivos en uno solo: en este caso, PDF y Word (DOC).
La técnica implica la inserción de un archivo MHT creado en Word, junto con una macro adjunta, dentro del archivo PDF. El resultado es un archivo PDF completamente válido que también se puede abrir en la aplicación Word.
En resumen, este documento PDF lleva incrustado en su interior otro documento de Word con una macro VBS diseñada para descargar e instalar un archivo de malware MSI si se abre como un archivo .DOC en Microsoft Office. En este momento, no está claro cuál es el malware específico que se ha distribuido mediante este método.
«Cuando se descarga un documento desde Internet o se recibe por correo electrónico, se activa el Modo Protegido. En consecuencia, el usuario debe hacer clic en ‘Habilitar edición’ para salir de este modo, momento en el que se le informa que las macros están deshabilitadas».
Investigador de seguridad Will Dormann.
Aunque se han observado ataques en el mundo real que aprovechan la técnica de MalDoc en PDF durante el último mes, existe evidencia que sugiere que se estaba experimentando con ella, bajo el nombre «DummymhtmldocmacroDoc.doc«, ya en mayo, según resalta Dormann.
Este desarrollo ocurre en medio de un aumento en las campañas de phishing que utilizan códigos QR para propagar URL maliciosas, una táctica conocida como «qishing«.
«Las muestras que hemos identificado utilizando esta técnica suelen disfrazarse como notificaciones de autenticación de múltiples factores (MFA), atrayendo a las víctimas a escanear el código QR con sus teléfonos móviles para obtener acceso. Sin embargo, en lugar de dirigirse al destino deseado, el código QR redirige a las víctimas a la página de phishing del actor de amenazas».
Trustwave.
Una de estas campañas, dirigida a las credenciales de Microsoft de los usuarios, ha experimentado un aumento impresionante del 2.400% desde mayo de 2023, como señaló Cofense en agosto. Esto destaca cómo el simple acto de escanear un código QR en un dispositivo móvil puede eludir las protecciones del entorno empresarial.
Los ataques de ingeniería social, como los evidenciados en las operaciones asociadas con LAPSUS$ y Muddled Libra, se vuelven cada vez más complejos y sofisticados a medida que los actores de amenazas aprovechan tácticas de «vishing» y phishing para obtener acceso no autorizado a sistemas objetivo.
En un ejemplo destacado por Sophos, un actor de amenazas combinó estratégicamente llamadas telefónicas y correos electrónicos para llevar a cabo una sofisticada cadena de ataques contra un empleado de una organización suiza.
«El llamador, cuya voz parecía ser la de un hombre de mediana edad, se hizo pasar por un conductor de entrega con un paquete urgente destinado a una de las ubicaciones de la empresa. Sin embargo, afirmó que no había nadie disponible para recibir el paquete y solicitó una nueva dirección de entrega en la ubicación de la oficina del empleado. Para completar la entrega, el empleado debía leer en voz alta un código que la empresa de envíos enviaría por correo electrónico».
Investigador de Sophos, Andrew Brandt
El correo electrónico supuestamente proveniente de la empresa de envíos convenció a la víctima de abrir lo que parecía ser un archivo PDF que contenía el código, pero en realidad era una imagen estática incrustada en el cuerpo del mensaje, diseñada para parecerse a un mensaje de Outlook con un archivo adjunto de correo electrónico.
Este ataque de «spam de imagen falsa» finalmente redirigió al destinatario a un sitio web falso a través de una serie de redireccionamientos, que a su vez descargaron un ejecutable engañoso disfrazado de servicio de paquetería llamado «Universe Parcel Service«. Cuando se ejecutó, actuó como un conducto para descargar scripts adicionales de PowerShell con el fin de robar datos y comunicarse con un servicio oculto de TOR remoto.
Estos desarrollos preocupantes se producen en medio de crecientes preocupaciones de seguridad relacionadas con colisiones de nombres en el DNS que podrían ser explotadas para filtrar datos sensibles.
«Las colisiones de nombres no son la única situación que puede hacer que un dominio de nivel superior se comporte de manera inusual. Algunos no responden adecuadamente cuando se les presentan nombres que han expirado o que nunca han existido. En estos TLD, los nombres de dominio no registrados y caducados aún resuelven a direcciones IP. Algunos de estos TLD incluso publican registros MX y recopilan correos electrónicos para los nombres en cuestión».
Cisco Talos
Más información:
- https://blogs.jpcert.or.jp/en/2023/08/maldocinpdf.html
- https://www.virustotal.com/gui/file/93daf2aea61f29a41ba2c76e2b016dbd4256bc5659bf6e79a2e3d59c1b493681
- https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/think-before-you-scan-the-rise-of-qr-codes-in-phishing/
- https://cofense.com/blog/major-energy-company-targeted-in-large-qr-code-campaign/
- https://news.sophos.com/en-us/2023/08/10/image-spam-attack/
- https://www.icann.org/resources/pages/name-collision-2013-12-06-en
- https://blog.talosintelligence.com/whats-in-a-name/
Fuentes:
https://unaaldia.hispasec.com/2023/09/maldoc-en-pdf-y-otras-tecnicas-de-ingenieria-social.html
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.