Ataques con archivos PDF

Post date: Sep 8, 2010 4:09:38 AM

Recientemente se han encontrado virus que utilizan como transporte archivos PDF. Desde el año 2000 se sabe que los archivos PDF podrían contener algún tipo de malware. Sin embargo, es recientemente que estos ataques se han vuelto comunes utilizando una técnica de programación llamada ofuscación. El virus puede inclusive estar catalogado en el antivirus y sin embargo no es reconocido al encontrarse dentro del archivo PDF oculto mediante una compresión encriptada y subdividido en pedazos que el código contenido en el archivo PDF reensambla.

Para lanzar un ejecutable, un archivo PDF debe realizar la acción /Launch y por defecto, los visualizadores de PDF ejecutan esta acción sin advertir, de manera que el usuario no recibe ninguna advertencia de que el archivo PDF ejecuta programas en su equipo. Cuando el visualizador está configurado para advertir cuando se lanzan ejecutables, el ataque tiene previsto manipular el texto de la ventana emergente que pregunta si el archivo PDF puede lanzar otros ejecutables, de manera que la pregunta que aparece no menciona la ejecución de otros programas.

En vista del aumento de ataques, Adobe distribuyó a principios de julio una actualización de seguridad para Acrobat que impide manipular el mensaje de la ventana emergente que previene al usuario que el archivo PDF pretende ejecutar una tarea. Sin embargo, algunos analistas han encontrado que la actualización no previene totalmente los ataques.

El virus ha sido encontrado en archivos anexos a correos electrónicos que contienen un PDF con títulos alarmistas o instrucciones para realizar alguna actividad inocua. También en versiones modificadas de archivos PDF legítimos como libros o revistas que los usuarios descargan por Internet.

Por ahora las únicas precauciones que realmente funcionan son:

1. No abrir archivos PDF recibidos por correo electrónico sin antes haber confirmado el origen de ellos.

2. Sólo bajar archivos PDF desde el lugar de origen de los documentos.

3. Desactivar la lectura de archivos PDF desde el navegador, de manera que si visitamos una dirección URL que inesperadamente resulta ser un PDF podamos cancelar su apertura.

Enlaces relacionados

• First Real /Launch “Escape from PDF” Malware Seen in the Wild, jeremy on April 27th, 2010.

• Acrobat PDF Files Can Be Used as Viruses, Larry Seltzer, 04.07.2010.

• Adobe Security Patches Don’t Fully Prevent /Launch Attack, jeremy on July 2nd, 2010.

• Falsa actualización del lector de PDF abre la puerta a atacantes, en Botica informática, 15 de julio de 2010.

• Buenas prácticas: Prevención de ataques a través de archivos PDF. 28 junio 2010, Malware City

Cursos relacionados

• Curso Seguridad en redes