elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: (TUTORIAL) Aprende a emular Sentinel Dongle By Yapis


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Jaff Ransomware Escondido en un documento PDF
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Jaff Ransomware Escondido en un documento PDF  (Leído 2,052 veces)
r32
Ex-Staff
*
Desconectado Desconectado

Mensajes: 1.299



Ver Perfil WWW
Jaff Ransomware Escondido en un documento PDF
« en: 11 Julio 2018, 20:05 pm »

El desafío para un autor de malware hoy tiene más que ver con la creatividad que con un conocimiento técnico profundo. Hay muchas buenas herramientas de construcción de troyanos para facilitar el trabajo. Pero una vez que el autor tiene una creación terminada, el gran desafío es cómo llevar el producto terminado a las víctimas.

Incrustar malware dentro de un documento de Word es ahora un lugar común. Por lo general, se trata de una Macro lanzada por la función 'habilitar contenido', también conocida como la función 'Por favor, infecta mi máquina'. Los autores de malware han dado el siguiente paso lógico utilizando un documento PDF como punto de partida.

Un PDF no es solo un documento legible fijo. Tiene muchas más características como dibujar y crear formularios. Es importante destacar que para los autores de malware, un documento PDF puede interpretar javascript. Echemos un vistazo al análisis de malware donde el autor creó un documento PDF incrustado con javascript que crea un documento de Microsoft Word con un VBScript incrustado para ejecutar Jaff Ransomware.

Análisis de Jaff Ransomware
Después de cargar el archivo "nm.pdf" de aspecto inocente al VMRay Analyzer, obtuvimos un puntaje extremadamente alto de VTI (VMRay Threat Identifier): 100/100. Para entender por qué el puntaje es tan alto, comenzamos mirando la Información de VTI.



La segunda entrada sugiere lo que el título del blog ya ha insinuado: "Cambiar el nombre de varios archivos de usuario". Este es un indicador para un intento de cifrado. Ciertamente estamos lidiando con el ransomware.

pero como funciona? El documento PDF no se puede ejecutar como un archivo ejecutable. En el informe de VMRay Analyzer, podemos volver a la página de resumen y mirar el gráfico del proceso.



Esto nos muestra un comportamiento realmente nuevo al abrir un documento PDF.

Primero, para abrir el archivo "nm.pdf", se inicia el proceso de Acrobat Reader "acrord32.exe" y se carga el PDF. Luego aparece un mensaje y solicita abrir un archivo "EQV6A.docm". Este mensaje nos advierte sobre la necesidad de abrir este archivo porque podría dañar nuestra computadora.



Esto funciona porque el documento PDF tiene un javascript incrustado que se inicia cuando se abre el documento.

Código:
<<
/Type/Catalog/Pages 9 0 R/Names 13 0 R/OpenAction
<< /S/javascript/JS(submarine();) >>
>>

Más información: https://www.vmray.com/cyber-security-blog/jaff-ransomware-hiding-in-a-pdf-document/

Saludos.
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
código vb escondido
Programación Visual Basic
abelillo76 5 2,137 Último mensaje 3 Junio 2009, 23:19 pm
por YST
problema con shellexecute escondido
Programación Visual Basic
50l3r 6 3,477 Último mensaje 22 Marzo 2010, 14:03 pm
por 50l3r
Iniciar aplicacion en modo escondido « 1 2 »
Programación Visual Basic
Air_Dragon 10 5,392 Último mensaje 28 Mayo 2010, 04:48 am
por Air_Dragon
Menu escondido
Desarrollo Web
¡Micronet! 5 2,851 Último mensaje 17 Noviembre 2011, 05:46 am
por #!drvy
Hay un juego escondido en tu Nintendo Switch
Noticias
wolfbcn 0 1,909 Último mensaje 18 Septiembre 2017, 14:35 pm
por wolfbcn
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines