PDF spam con JavaScript en sitios .edu vulnerados

por

Hace un rato estaba leyendo en el blog de Zscaler una nota sobre el uso de archivos PDF para hacer spam y mirando uno de los sitios que aprovechan para ello me encontré con algunas cosas interesantes.

En la siguiente captura se puede ver uno de los documentos spam cargado en el navegador, su contenido sólo son palabras claves relacionadas con productos farmacéuticos y se incluye un enlace:

pdf-spamPDF spam sobre productos farmacéuticos

Al hacer clic se termina en una farmacia online falsa que se encuentra alojada en un servidor de Ucrania bajo un dominio de India (.in):

farmacia-falsaFarmacia online falsa

El PDF spam se encuentra alojado en el servidor de una universidad de Estados Unidos, parece que olvidaron actualizar el software de su Wiki y se les llenó de spam:

spam-pdf-eduArchivos PDF en el sitio infectado

En algunos PDF es el usuario el que debe hacer clic en los enlaces, pero en otros agregaron código JavaScript ofuscado para realizar redirecciones, es decir que al hacer clic en el resultado de Google se podría terminar automáticamente en la página de la farmacia falsa, esto dependerá del lector de archivos que se utilice y si tiene habilitada o no la lectura de JavaScript.

Si bien los antivirus tienen la capacidad de detectar este tipo de códigos, no siempre lo hacen, un documento al azar subido recién a VirusTotal fue detectado por 4 de 42 motores lo cual es una tasa bastante baja.

Imagina lo mismo pero aprovechando otras palabras claves como nombres de libros famosos y redirecciones a sitios que infectan… hay mucha gente que busca PDFs en internet y hay muchos buscadores de PDFs que sólo muestran resultados de Google! Realmente pueden estar haciendo destrozos si es que ya no los están haciendo…

Pero los PDF spam no son lo único que hay en este sitio vulnerado, también me encontré con páginas que enlazan a tiendas fraudulentas de software (las famosas tiendas OEM que se encuentran hasta en el sitio de la Nasa!):

spam-oem-eduSpam de software OEM

Al hacer clic se termina en una tienda fraudulenta que vende software pirateado como si fuera original:

tienda-falsa-oemSitio fraudulento que vende software

Voy a escribirle al webmaster del sitio infectado para advertirle, por eso taché las URLs. Igualmente en la nota de Zscaler se pueden encontrar este y muchos más ejemplos de sitios .edu vulnerados.

Ver también:
Volviendo un PDF indetectable (video conferencia).

Deja un comentario