Ciberdelincuentes incluyen un documento de Word ensamblado dentro de un archivo PDF como una táctica para eludir la detección

Con el propósito de eludir la detección, los ciberdelincuentes emplearon un innovador enfoque denominado “MalDoc en PDF” para insertar un archivo de Word con intenciones maliciosas dentro de un archivo PDF.

A pesar de tener las secuencias de caracteres distintivas y seguir el formato característico de un archivo PDF, un archivo creado mediante la técnica de MalDoc en PDF puede ser abierto utilizando Microsoft Word.

Cuando el archivo contiene una macro configurada, al ejecutarlo en Word se activa el inicio de VBS (Visual Basic Scripting) para llevar a cabo operaciones perjudiciales.

Los ataques reportados por JPCERT/CC involucraron la utilización de la extensión de archivo “.doc”. Si en Windows la extensión “.doc” está asociada con Word, el archivo MalDoc dentro del PDF creado será visualizado como un documento de Word.

Según lo explicado por JPCERT/CC en su blog, el proceso de volcado de MalDoc en PDF implica que “el atacante añade un archivo mht generado en Word que contiene una macro, luego lo adjunta después del objeto del archivo PDF y lo guarda. Aunque la firma del archivo identifica al archivo creado como un PDF, también puede ser abierto en Word”.

En relación al análisis del ataque, es probable que las herramientas de evaluación de PDF como pdfid no sean capaces de identificar los elementos maliciosos dentro de un archivo confeccionado mediante MalDoc.

Además, es importante notar que este archivo presenta comportamientos indeseados cuando se accede a él a través de Word; sin embargo, las acciones perjudiciales no son discernibles al abrirlo en lectores de PDF u otros medios similares. Dado que el archivo es identificado como un PDF, es posible que los programas antivirus actuales o entornos controlados no logren detectarlo.

En lo que respecta a los resultados obtenidos mediante el análisis de pdfid, el equipo de JPCERT/CC indicó que “esta técnica no elude las configuraciones que deshabilitan la ejecución automática de macros en Word”.

No obstante, al llevar a cabo un análisis automatizado de software malicioso utilizando herramientas especializadas o entornos controlados, se debe ser cauteloso con las conclusiones obtenidas debido a que los archivos son reconocidos como archivos PDF.