Preocupaciones sobre las tendencias en los ataques digitales: los actores de amenaza arman los archivos PDF. Según un estudio de punto de control, el 68% de todos los ataques maliciosos se entregan por correo electrónico, pero los ataques basados en PDF actualmente representan el 22% de todos los archivos adjuntos de correo electrónico maliciosos, por lo que es una preocupación de seguridad crítica para las organizaciones de todo el mundo.
El uso generalizado de PDF como una forma estándar de comunicación empresarial ha creado un entorno ideal para los ciberdelincuentes.
El año pasado se abrieron más de 400 mil millones de archivos PDF, y el 87% de las organizaciones que usan PDF como formato estándar han identificado estos documentos como los mejores vehículos para ocultar el código malicioso.
Los investigadores de seguridad monitorean numerosas campañas maliciosas que eluden con éxito la detección de los proveedores de seguridad tradicionales, y en muchos casos las detecciones virustotales son cero durante un largo período de tiempo.
PDF presenta un vector de ataque atractivo con una combinación única de complejidad y familiaridad del usuario. La especificación PDF (ISO 32000) abarca aproximadamente 1,000 páginas y ofrece numerosas características que pueden usarse para tácticas de evasión.
Esta complejidad crea un efecto de captura. Si bien los sistemas de seguridad automatizados son difíciles de analizar correctamente, los documentos se ven normales para los usuarios humanos.
Los ataques anteriores basados en PDF se basaron en aprovechar las vulnerabilidades en los lectores de PDF y usar JavaScript, pero los atacantes modernos se han movido a un enfoque de ingeniería social más simple y altamente efectivo.
En lugar de emplear exploits complejos, los actores de amenaza leerán informes de punto de control cuando incrusten enlaces maliciosos que impulsarán a las víctimas a descargar sitios de phishing o malware, lanzando una cadena de ataque que evita las medidas de seguridad tradicionales.
Técnicas de evasión sofisticadas
Los actores de amenaza emplean múltiples estrategias para evitar la detección.
Evitación de URL: los atacantes aprovechan los servicios de redirección legítimos como Bing, LinkedIn y Google AMP URL para enmascarar destinos maliciosos y evitar efectivamente los sistemas de seguridad basados en la reputación de la URL.
Implementación del código QR: al integrar los códigos QR en PDF, los atacantes pueden evitar completamente los escáneres de URL tradicionales y agregar complejidad a sus esfuerzos de detección.
Fraude telefónico: los delincuentes pueden usar la ingeniería social para llamar a las víctimas un número de teléfono. Este método requiere una participación activa de muchas personas, pero elimina los requisitos para URL sospechosas por completo.
Obscuridad del archivo: los PDF pueden usar cifrado, filtros y objetos indirectos para ocultar intentos maliciosos mientras se abre correctamente en un lector PDF común.
Evasión de aprendizaje automático: en lugar de usar formatos de texto estándar, los atacantes confían en el reconocimiento de caracteres ópticos, que incorpora texto en imágenes y es propenso a errores en los sistemas de seguridad.
Algunas personas manipulan imágenes y confunden modelos de procesamiento del lenguaje natural al agregar texto invisible.
Proteger contra las amenazas basadas en PDF
Los expertos en seguridad recomiendan varias medidas de protección.
Siempre revise la ID del remitente antes de abrir un archivo adjunto PDF. Tenga cuidado con documentos inesperados, especialmente aquellos que solicitan clics de enlace o escaneos de código QR. Pase el enlace para ver la URL completa antes de hacer clic. Si es posible, deshabilite JavaScript y use un visor PDF seguro y actualizado. Mantenga sus herramientas de seguridad y sistema operativo actuales.
“Los ataques basados en PDF funcionan como una prueba sofisticada de Captcha”, dijeron los investigadores.
“Están especialmente diseñados para parecer legales para los usuarios humanos al tiempo que eluden los sistemas de detección automática, lo que hace que el PDF sea particularmente peligroso en los entornos empresariales cotidianos”.
A medida que la tecnología de arma PDF continúa evolucionando, las organizaciones deben implementar medidas de seguridad integrales para detectar amenazas sofisticadas antes de que puedan comprometer sus sistemas y datos.
Investigue los enlaces maliciosos del mundo real y los ataques de phishing con búsqueda de inteligencia de amenazas: pruebe 50 solicitudes gratuitas
