Gran campaña de malware para atacar una vulnerabilidad de PDF

Varias compañías de seguridad han alertado hoy de una gran campaña de malware que intenta embaucar a los usuarios para que abran un PDF manipulado para explotar un fallo de diseño no parcheado existente en el formato.

Si los usuarios abren el PDF de ataque resultarán infectados con una variante de un gusano Windows conocido como “Auraax” o “Emold”. El mensaje con el que los atacantes dirigen este archivo se enmascara simulando tratarse de un correo electrónico emitido desde una compañía de administradores de sistemas y se presenta con el asunto “setting for your mailbox are changed” (la configuración de su buzón de correo se ha modificado, en español), según Mary Grace Gabriel, ingeniera de investigación del grupo de seguridad de CA.

Se supone que el documento PDF proporcionará al usuario las instrucciones para recuperar las configuraciones de su correo electrónico, pero en realidad contiene un malware embebido y utiliza la función /Launch del formato para ejecutar el malware sobre PC Windows que corran las más nuevas versiones Adobe Reader, Acrobat u otros visualizadores de PDF, como Foxit Reader.

La funcionalidad /Launch no es en sí misma una vulnerabilidad de seguridad, sino que se trata de una funcionalidad de diseño de la especificación, pero hace unas semanas, el investigador Didier Stevens demostró cómo un PDF de ataque podía utilizarla para correr malware escondido en el archivo y hace unos días, investigadores de seguridad advirtieron haber descubierto una nueva botnet Zeus que aprovechaba /Launch para infectar PC.

Un portavoz de Adobe ha declinado realizar comentarios sobre los últimos ataques, pero ha dicho que la compañía está aún investigando la funcionalidad /Launch en Adobe Reader y Acrobat para identificar “todos los escenarios de uso posibles de ella con el fin de asegurar que no interrumpirá los flujos de trabajo de nuestros clientes”. El actual consejo de Adobe sigue siendo que los usuarios configuren Reader y Acrobat para frustrar tales ataques. Las instrucciones para ello se encuentran en el website de la compañía.

fuente: csospain.es


Anuncios

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s