Los documentos en formato PDF están sumamente extendidos como para utilizarlos contra los usuarios. Por este motivo, los ciberdelincuentes se afanan en utilizar estos (o al menos eso parece) para atacar a los usuarios. En este artículos os vamos a enseñar cómo se sirven de supuestos documentos PDF para infectar los equipos Windows con el troyano AZORult.
Para utilizar un orden código en este artículo, vamos a explicar por qué utilizamos comillas al referirnos a archivos PDF. Los ciberdelincuentes recurren a la ingeniería social. Gracias a esta, son capaces de engañar a los usuarios y hacer creer que se trata de un archivo PDF. Desde hace tiempo, se utiliza el cambio de extensión de los archivos o, simplemente, se produce el cambio del icono asociado a ese archivo por el correspondiente al de un documento PDF. ¿Suficiente para engañar a un usuario? Tal vez muchos nos podemos percatar de qué está sucediendo. Sin embargo, la mayoría de los usuarios no dudaría ni un instante en realizar la apertura del archivo.
La distribución de archivos PDF falsos
A la vez que los ciberdelincuentes juegan con la ingeniería social en lo que se refiere al archivo, también a la vía de difusión.
Sobre todo, los ciberdelincuentes se ayudan de correos electrónicos para “engañar” al usuario y hacerles creer que deben consultar un PDF con información importante. Es aquí cuando se recurre a compañías de acceso a Internet o servicios de banca en línea (principalmente) para provocar que los usuarios accedan al enlace malware.
Es decir, una práctica extendida que se continúa utilizando. Sin embargo, dado que se trata de un ejecutable, lo que se acostumbra a realizar en estos casos es redirigir al usuario a una web de la que descargará el archivo. Los filtros de correo electrónico han avanzado tanto que sería complicado colar una amenaza de una características similares a la que nos ocupa.
Aún nos queda hablar de lo más importante, el malware o, mejor dicho, las dos amenazas que se están utilizando.
Sobre AZORult, la amenaza que se está distribuyendo
Aunque todavía no hemos dedicado mucho tiempo a esta parte, hay que tenerla en cuenta. Se trata de la amenaza AZORult y está compuesta por dos payloads, tal y como hemos comprobado anteriormente.
La primera de ellas se trata de un troyano que es capaz de robar la información existente en carpetas específicas. Es la primera en ser ejecutada cuando se produce la apertura del archivo por parte del usuario. Además de robar archivos ubicados en carpetas específicas, busca información asociadas a cuentas locales del sistemas, historiales de navegación en diferentes navegadores web o credenciales almacenados en el equipo Windows infectado.
Después de esto, llega la ejecución del segundo ejecutable, que no es, nada más y nada menos que un ransomware encargado de cifrar los archivos de diferentes directorios. Para ser más precisos, se trata de Aurora, una amenaza conocida por los lectores de esta web. Ya hemos tenido la oportunidad de hablar de este ransomware en más de una ocasión. Su repercusión nunca ha sido destacable, al menos hasta este momento.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad