Recientemente, en Symantec han descubierto malware in the wild (léase: activos en el mundo real) en forma de archivos de documentos, como PDF y Word, usando contraseña como protección. El malware es usado como adjuntos en el correo electrónico en ataques limitados y específicos.

Contraseñas para archivos de documentos se utilizan para impedir el acceso no autorizado a los archivos mediante el cifrado de las contraseñas. Sin embargo, los atacantes están haciendo mal uso de la función de contraseña para cifrar los archivos, probablemente para dificultar que los productos de seguridad los detecten como malware. También dificulta la ingeniería inversa en los archivos porque necesitan ser descifrados antes de que su análisis se pueda realizar.

Estos malware en sí mismos no son nada especial. Ellos no son diferentes a los adjuntos comunes utilizados en ataques selectivos típicos, excepto por el hecho de que requieren contraseñas para abrirse. Varias suites ofimática de software incluyen una función de cifrado de contraseña, por lo que los documentos no son el único tipo que pueden utilizarse para este tipo de ataque. Además de los archivos para los procesadores de textos, hojas de cálculo, programas de presentación y documentos PDF también se ven afectados.

En el pasado, desde Symantec han visto a menudo protegidos con contraseña los archivos adjuntos de correo electrónico, pero estos han sido por lo general los ficheros de archivo protegidos. Los adjuntos no suelen ser detectados normalmente pero el malware dentro del archivo se detecta cuando se extraen. Para este ataque en concreto, sin embargo, los propios archivos de documento adjuntos están protegidos con contraseña, lo que significa que los archivos se cifran. Todavía, sin embargo, se puede prevenir la infección con productos de seguridad mediante la detección tradicional así como proactiva para detectar los archivos colocados o descargados como en cualquier otro tipo de ataque. Sin embargo, tenga en cuenta de este nuevo truco cuando encuentre documentos protegidos con contraseña en el correo electrónico no solicitado.

Los atacantes siguen añadiendo trucos adicionales a su repertorio, cuando se utilizan varias capas de defensa, el riesgo de infección no debería ser superior a cualquiera de otros tipos de ataques selectivos.

Traducción: Velcro

Fuente: Symantec Security Response Blog

Anuncios