En el blog de Symantec han publicado algunos detalles de un ataque muy interesante, todo comienza con un correo enviado por alguien que se hace pasar por periodista, el mensaje no contiene ningún elemento peligroso pero busca una respuesta de la víctima:
Soy periodista… Quiero hacerle una entrevista acerca de su empresa y si acepta, por favor, póngase en contacto conmigo.Si la víctima responde pensando que es algo real, el atacante vuelve a escribir esta vez adjuntando un documento PDF infectado. La técnica es buena porque en el segundo mensaje resulta bastante lógico que se adjunte un documento con supuestas preguntas, lo cual aumenta notablemente las chances de que sea abierto:
Documento adjunto infectado (questions.pdf)Ahora bien, hay detalles en estos correos que deberían levantar sospechas, lo que rompe los ojos en el primero es que comienza con un Dear Sir/Madam, es decir, es un mensaje muy general, como si el tipo estuviera de «pesca»… si un periodista realmente está interesado en hacer una entrevista sobre una compañía, el mensaje tendría que ser más personalizado.
Por otro lado el nombre que figura en el campo «from» no coincide con la firma al final del mensaje y el texto no parece ser escrito por alguien que domine el inglés de forma nativa.
Estos detalles se contradicen con la complejidad del PDF infectado, no se utiliza código JavaScript ni una sentencia OpenAction que ejecute alguna acción al abrir el archivo. El documento contiene varios objetos que parecen no hacer nada, pero contienen códigos encriptados que actúan cuando se explota una vulnerabilidad conocida de Adobe Reader (más detalles).
Si el documento se abre con la última versión del programa aparece un mensaje de error y el malware no se ejecuta. En cambio, si abre con versiones anteriores el lector se cierra y el sistema se infecta.
Acá vemos la importancia de mantener los programas actualizados (sobre todo Adobe Reader) y la precaución que debemos tener con los adjuntos. Tampoco debemos creernos todos los mensajes que nos envían, hacerse pasar por otra persona es muy sencillo y cuando nuestro correo es público estamos expuestos a este tipo de ataques «personalizados».
Sin lugar a dudas esta novedosa forma de infección se basa en la "comodidad" de la nueva generación de "periodistas" que prefiere hacer todo "virtual", incluso, conocer al entrevistado previamente.
Por ahora, solo está en inglés, pero no faltarán algunos días para que una vez traducido al español y recibidos los nuevos ataques, esta noticia empiece a ocupar algunas páginas de diarios.. perdón… las páginas web de los diarios ;-)