Documentos tanto o más maliciosos que ejecutables

Document_MaliciousMe parece que se me había pasado comentaros pero…

Aunque la regla que tienen muchas personas de desconfiar cuando reciben un ejecutable (ya sea en un correo electrónico o a través de una descarga) sea buena, no tenemos que olvidar que el bosque está lleno de zorros. Simplemente abriendo un documento Word o PDF por ejemplo, a primera vista inocuo, podemos infectar no solo nuestro equipo sino una red corporativa completa con los correspondientes peligros que eso supone para la seguridad y privacidad de la empresa.

Últimamente este tipo de ataques están en auge y no pasa semana sin escuchar sobre algún nuevo malware o ataque que se base en documentos para infectar a sus víctimas. Principalmente encontramos 3 tipos de técnicas:

  • Ingeniería social en documentos: Las técnicas utilizadas dependen del formato del documento, siendo las más comunes las siguientes:
    • Word: Las VBA Macros son una feature propia que permite la ejecución de código (suelen estar desactivadas en la gran mayoría de versiones). Basta con cifrar el documento y avisar al usuario que solo podrá visualizar el contenido una vez haya activado las macros. En efecto, el texto se descifra, pero ocurre algo mucho más grande. Con estos permisos se puede comenzar a ejecutar archivos binarios, batch, visual basic scripts o scripts de la PowerShell entre otros.
    • PDF: Se utilizan scripts embebidos dentro del propio documento para comenzar el ataque. Cuando se abre el documento y se intenta ejecutar, el propio lector de documentos avisa al usuario de ese intento de ejecución, pero el texto explicativo que se muestra puede ser escrito por el propio atacante con lo que una persona fácilmente puede acabar aceptando dicha ejecución. Tras eso, tan solo se tendrá que descifrar el malware embebido o descargar el malware de la red para infectar dicho equipo.

  • Explotación de vulnerabilidades de lectores: En este caso el usuario no se percatara en ningún momento de que está ocurriendo un ataque, dado que al explotar una vulnerabilidad del lector de documentos se puede hacer un bypass de las medidas de protección. Continuamente están apareciendo nuevas vulnerabilidades para Word o Adobe Reader que son explotadas por diferentes campañas de phishing o APTs (Advanced Persistent Threat).
  • Camuflaje de tipología: Muchos atacantes se aprovechan del hecho de que un gran número de usuario tienen las extensiones de los archivos ocultas y de que no comprueban el tipo de un archivo antes de abrirlo. Por tanto, modificando el icono de su ejecutable malicioso con el logo de algún lector de documentos y añadiéndole la extensión correspondiente al nombre del archivo, logran engañar fácilmente a un usuario. Cuando vienen adjuntos a un correo electrónico, generalmente suelen ir comprimidos con contraseña para que el usuario no vea que se trata de un ejecutable en la previsualización.

Una vez conocidas las técnicas,  os mostrare unas herramientas que permiten analizar documentos en busca de este tipo de ataques. Para el caso concreto de documentos Word los más comunes son OfficeMalScanner y Offvis. Para documentos PDF existen gran cantidad de herramientas, pero para un análisis rápido PDF Stream Dumper y PDFiD son bastante usadas.

Finalmente, la mejor forma de protegernos de estos ataques es desconfiar de cualquier archivo que nos llegue sin previo aviso, independientemente de quien sea el emisor (puede estar infectado), y tener todo el software que usemos lo más actualizado posible. Olvidar esa antigua versión de Word que siempre habéis utilizado y dejar de impedir que el Adobe Reader se actualice, no es seguro utilizar programas no parcheados.

El que avisa no es traidor.

Iskander Sanchez-Rola
Acerca de
Founder/Content Director
Expertise: Web Security and Privacy
iskander-sanchez-rola.com