En las últimas semanas hemos observado cómo se lanzaban ataques aprovechando las vulnerabilidades más recientes descubiertas en Adobe Reader. En los casos que hemos visto hasta ahora se enviaban los archivos PDF maliciosos adjuntos a un correo electrónico pero hemos empezado a ver variaciones en el método de propagación de estas amenazas.
Un usuario nos alertó de la existencia de una página maliciosa que intentaba descargar malware y este era detectado por su antivirus. Al acceder a la misma comprobamos como como, efectivamente, se intenta descargar un archivo pdf a nuestro sistema:
Hasta ahí nada fuera de lo común. Lo que si nos sorprendió es que la web maliciosa intentase suplantar la de una famosa agencia de reservas hoteleras, pero sin molestarse siquiera en cambiar la URL para hacerla parecer más real. Hay que resaltar que la empresa Booking. com no ha visto su web comprometida de ninguna forma, siendo los creadores de este malware los que han usado su imagen para engañar a los usuarios.
Al intentar acceder a la web maliciosa, es probable que nuestro navegador avise del peligro que existe, tal y como sucede con Internet Explorer 8.
En caso de querer acceder a la web maliciosa ignorando el aviso del navegador, nuestro antivirus detectará la amenaza antes de que se descargue.
Tras un primer análisis, no parece que esta amenaza vaya a causar muchos problemas puesto que tanto los navegadores como varios antivirus la detectan pero, si indagamos un poco mas podemos llegar a pensar que este ataque no se ha terminado de preparar como pretendían sus creadores. Viendo la página que pretenden suplantar, el dominio usado y la vulnerabilidad que se aprovecha, es posible que esta no sea más que una prueba fallida de algún plan de ataque a mayor escala.
Se nos ocurre, por ejemplo, una suplantación más elaborada de la web elegida como cebo, donde los archivos PDF maliciosos se descarguen como material informativo. Incluso se podría suplantar la web llegando al punto de pedir los datos de la tarjeta de crédito del usuario y enviando el PDF malicioso como una falsa factura. Pero esto, son suposiciones, y esperamos que no se lleven a cabo. No obstante, nunca estará de más añadir una protección adicional a nuestro sistema para evitar caer en la trampa.
Josep Albors