Un ataque de Cobalt Gang usa un PDF para evadir la detección

  • Endpoint

La campaña analizada utilizó un correo electrónico que contenía el asunto "Confirmaciones el 16 de octubre de 2018" para dirigirse a los empleados de varias organizaciones bancarias. El ataque utiliza un documento PDF especialmente diseñado que sortea casi todos los antivirus tradicionales.

También puedes leer...

DNS Security for Dummies

Diez capas de seguridad para contenedores

20 Casos de uso de CASB

Los riesgos de Blockchain

Diez consejos sobre la gestión de Bots

Un ataque llevado a cabo por Cobalt Gang utilizó un documento PDF especialmente diseñado para evadir la detección mediante herramientas de análisis estático. El equipo de inteligencia sobre amenazas de la Unidad 42 de Palo Alto Networks detectó la campaña a finales de octubre.

El ejemplo analizado utilizó un correo electrónico con el asunto "Confirmaciones el 16 de octubre de 2018" para dirigirse a los empleados de varias organizaciones bancarias. Adjunto al correo electrónico había un documento PDF que no contenía una vulnerabilidad o código malicioso. En cambio, un enlace incrustado dentro del documento PDF redirigía a los destinatarios a una ubicación legítima de Google que, a su vez, redirigía el navegador a un documento de Microsoft Word que contenía macros maliciosas.

En el momento del descubrimiento, el ataque de PDF logró evadir casi todos los programas antivirus tradicionales. Fue capaz de hacerlo porque Cobalt Gang agregó algunas páginas vacías y páginas con texto para que el documento se viera más auténtico. Estas características evitan que el PDF genere señales de advertencia en la mayoría de las herramientas de análisis estático.

El uso de documentos PDF especialmente diseñados no es la única forma en que los ciberatacantes logran volar bajo el radar. Por ejemplo, muchos ni siquiera utilizan exploits y, en cambio, recurren a correos electrónicos de phishing que utilizan técnicas de ingeniería social.