Cada año se crean más de 2,5 billones de PDF, lo que convierte a este formato en uno de los más populares del mundo.
Bogotá, Colombia – agosto de 2024 – SonicWall, proveedor de protección de ciberseguridad para fuerzas de trabajo remotas, móviles y en la nube, ha anunciado que el equipo de investigación de amenazas de SonicWall Capture Labs ha identificado archivos PDF con códigos QR que están siendo explotados por ciberdelincuentes.
Cada año se crean más de 2,5 billones de archivos PDF, un formato creado en 1993 por Adobe System y que sigue siendo extremadamente popular. En 2023, el 98% de las empresas afirmaron que utilizarían este formato para compartir documentos internos y externos. Un estudio basado en búsquedas de Google indica que, en 2014, PDF era el formato más utilizado en el mundo, seguido de .DOC y .XLS, una evolución de este estándar es el creciente uso de los códigos QR en el universo PDF.
Además de los pagos y la retroalimentación, los códigos QR tienen una amplia gama de aplicaciones en diversas industrias, como el marketing, el comercio minorista, la educación, la salud, la hostelería, el transporte, el sector inmobiliario, los servicios públicos, el entretenimiento, las operaciones comerciales, el uso personal, etc.
Los creadores de programas maliciosos aprovechan esta popularidad. «Hemos notado que muchos archivos PDF provienen de correos electrónicos (fax) que contienen códigos QR que piden a los usuarios escanearlos con la cámara de su smartphone. Algunos dicen ser actualizaciones de seguridad, mientras que otros contienen enlaces de SharePoint para firmar documentos», explica Juan Alejandro Aguirre, director de Soluciones de Ingeniería de SonicWall Latinoamérica.
Tras escanear el código QR, aparece una URL de phishing en la que el host, en este caso, es bing.com. «Se trata de una estrategia para evitar detecciones de seguridad», explica Aguirre. Desde ahí, el usuario es redirigido a la página de phishing creada por los delincuentes digitales.
“hxxps://r[.]g[.]bing[.]com/bam/ac?!&&u=a1aHR0cHM6Ly9ocmVmLmxpLz9odHRwczovL20zYWZzZWN1ci51cy9hdXRoLmh0bWw=#GeXVrYWt1cmVjaGlAbWJrLmNvbQ==”
El enlace de suplantación de identidad abre una página web muy similar a la página de inicio de sesión oficial de Microsoft.
El siguiente paso consiste en pedir a los usuarios que introduzcan las credenciales de su cuenta de Microsoft, como el ID de usuario y la contraseña. «El objetivo de los delincuentes es recopilar estas credenciales con fines maliciosos, como el acceso no autorizado al correo electrónico del usuario, información personal y datos corporativos sensibles», afirma Aguirre.
Escanear un código QR malicioso puede acarrear una amplia gama de consecuencias graves; en estos casos, se pide a los usuarios que escaneen el código con un smartphone.
La funcionalidad de escaneado de códigos QR en dispositivos móviles puede aprovecharse para llevar a cabo acciones sin el consentimiento explícito del usuario.
Esto incluye:
- Descarga e instalación automática de aplicaciones maliciosas.
- Suscripción de los usuarios a servicios de SMS de tarificación adicional, con los consiguientes gastos inesperados.
- Inicio de llamadas a números de tarificación adicional, con los consiguientes costos elevados.
- Robo de credenciales.
- Ataques de explotación.
- Compromiso de la red.
- Daños a la reputación.
Protección de SonicWall
«Gracias a la experiencia de nuestros técnicos de SonicWall Capture Labs, pudimos dar a conocer rápidamente no sólo el exploit creado por los delincuentes, sino también la solución a esta amenaza», afirma Aguirre. Para que los clientes de SonicWall estén preparados ante cualquier brecha que pueda producirse debido a este malware, están disponibles las siguientes firmas:
- MalAgent.A_1998 (Trojan)
- MalAgent.A_1999 (Trojan)
IOCs
68d72745079d00909989c92141255ba530490cd361a26ee1f4083acf35168c45
21bb86d48cf2cfaa3fab305b54b936304a4cdbd60bb84024a3cd8a3eed99abc4
URLs
hxxps://r[.]g[.]bing[.]com/bam/ac?!&&u=a1aHR0cHM6Ly9ocmVmLmxpLz9odHRwczovL20zYWZzZWN1ci51cy9hdXRoLmh0bWw=#GeXVrYWt1cmVjaGlAbWJrLmNvbQ==
hxxps://geszvihbb[.]cc[.]rs6[.]net/tn[.]jsp?f=001Ditptef7aGWV9JfIQAYkZmCN-
wQcHMy3e4wzwbv3vnsaliwycylagGK80Yt9uHp_YVVukara24hbeA_lURHoJmu1Scc_CBtL1Gctc_C9mjtpTa4efbpuN0PD2cc1NoggcgogpAVDLdR-weTmdl8QR4ErgtgM9NX_0e-GLM1eb4IkOGmV3qUSnw==&c=&ch==&__=/p[.]olds@dummenorange[.]com
hxxps://pub-8c469686ecb34304864e58edf5ab4597[.]r2[.]dev/gystdn[.]html#YXByaWxAcmVzZXRpdGxlLmNvb
Acerca de SonicWall Capture Labs
Los investigadores de amenazas de SonicWall Capture Labs recopilan, analizan y clasifican la información sobre amenazas a través de múltiples vectores en la red de amenazas de SonicWall Capture, que consta de dispositivos y recursos globales, incluidos más de 1 millón de sensores de seguridad en casi 215 países y territorios. SonicWall Capture Labs, que fue pionero en el uso de inteligencia artificial para la investigación y protección frente a amenazas hace una década, lleva a cabo rigurosas pruebas y evaluaciones con estos datos, establece una puntuación de reputación para los remitentes y el contenido del correo electrónico e identifica nuevas amenazas en tiempo real.
Acerca de SonicWall
SonicWall es precursora en ciberseguridad, con más de 30 años de experiencia, y está reconocida como una empresa líder con un modelo de distribución centrado en los partners. Con la capacidad de desarrollar, escalar y gestionar la seguridad en entornos en la nube, híbridos y tradicionales en tiempo real, SonicWall ofrece protección sin fisuras contra los ciberataques más escurridizos, en infinitos puntos de exposición, para usuarios cada vez más remotos, móviles y basados en la nube. Con su propio centro de investigación de amenazas, SonicWall es capaz de ofrecer soluciones de seguridad de forma rápida y rentable, diseñadas específicamente para dar soporte a cualquier organización -grandes empresas, organismos gubernamentales o PYMES- en cualquier parte del mundo. Para más información, visite www.sonicwall.com o síganos en X, LinkedIn, Facebook e Instagram.
–
Syspertec sas
Agencia de Prensa y Relaciones Públicas
