100.000 páginas web con documentos PDF maliciosos

La utilidad del formato PDF es indiscutible, pero sus problemas de seguridad tampoco admiten discusión. Y esto no es una crítica al formato, claro, ocurre lo mismo que con los documentos de Microsoft Office, algunas de sus funciones pueden ser empleadas con fines malintencionados, y el principal problema de seguridad pasa por la descarga u obtención, por cualquier medio, de documentos de los que desconocemos el origen.

El ejemplo más claro de ello lo encontramos en el malware que se difunde por correo electrónico, apelando a la curiosidad del usuario. No debe quedar ya nadie sobre la faz de la Tierra que no haya recibido un correo electrónico con un documento en formato PDF, Docx o Xlsx, de un remitente desconocido y con una factura o un presupuesto que, por supuesto, no esperamos. O también puede ser un supuesto listado de contraseñas u otros ganchos similares, suficientemente tentadores para que algún usuario incauto caiga en el engaño y lo abra, dando paso así al malware en su sistema.

Afortunadamente, con los años los usuarios han ido cobrando más consciencia sobre estos riesgos y, en consecuencia, cada vez son más los PDF recibidos por esta vía que van directos desde la bandeja de entrada hasta la papelera. Sin abrir, por supuesto. Esto ha ocasionado que los ciberdelincuentes estudien y prueben nuevas vías de difusión con las que lograr que su malware vuelva a ser tan efectivo como antaño. Y, desgraciadamente, en ocasiones encuentran la manera de lograrlo.

Y un nuevo caso, como ha detectado la empresa de ciberseguridad eSentire, apunta a una vía muy inteligente para hacer llegar documentos PDF maliciosos a sus potenciales víctimas. La técnica consiste en crear páginas web de recursos profesionales útiles (plantillas de facturas, de presupuestos, escritos, etcétera) con los PDF, con la intención de que los usuarios crean que dichas páginas son fiables, así como su contenido, y los descarguen y abran, infectando así sus ordenadores.

Para lograr atraer al máximo volumen posible de usuarios a estas páginas y que, de este modo, descarguen los PDF maliciosos, estos ciberdelincuentes ponen el foco en el SEO de dichas páginas, en lo que se denomina SEP (Search Engine Poisoning). De este modo, cuando un usuario busca una plantilla para una factura o un currículum, los buscadores mostrarán las páginas maliciosas entre los primeros resultados, y muchos usuarios caerán en la trampa, descargando el malware sin saber que lo es.

Una vez descargados y abiertos, los PDF de estas páginas proceden a instalar una RAT (Remote Access Tool) con la que hacerse con el control del sistema, que podrán emplear posteriormente con tantos fines como deseen. Adicionalmente, pueden emplear esta herramienta para garantizarse un acceso persistente al sistema incluso si la RAT es eliminada del mismo.

Las empresas responsables de los principales buscadores persiguen el SEP, pero aún así son bastantes los sitios web que consiguen colarse un tiempo entre los resultados legítimos, y la extendida y errónea creencia de que si algo aparece en un buscador es que es fiable, ocasiona que muchos usuarios caigan en trampas de este estilo de manera habitual. El caso de estos PDF es el último, pero hemos conocido otros muchos en el pasado.

La entrada 100.000 páginas web con documentos PDF maliciosos es original de MuySeguridad. Seguridad informática.