Foro de elhacker.net

Foros Generales => Noticias => Mensaje iniciado por: El_Andaluz en 21 Abril 2021, 14:27 pm



Título: 100.000 páginas web con documentos PDF maliciosos
Publicado por: El_Andaluz en 21 Abril 2021, 14:27 pm
(https://i.postimg.cc/gJVDYCf0/pdf.jpg)


La utilidad del formato PDF es indiscutible, pero sus problemas de seguridad tampoco admiten discusión. Y esto no es una crítica al formato, claro, ocurre lo mismo que con los documentos de Microsoft Office, algunas de sus funciones pueden ser empleadas con fines malintencionados, y el principal problema de seguridad pasa por la descarga u obtención, por cualquier medio, de documentos de los que desconocemos el origen.

El ejemplo más claro de ello lo encontramos en el malware que se difunde por correo electrónico, apelando a la curiosidad del usuario. No debe quedar ya nadie sobre la faz de la Tierra que no haya recibido un correo electrónico con un documento en formato PDF, Docx o Xlsx, de un remitente desconocido y con una factura o un presupuesto que, por supuesto, no esperamos. O también puede ser un supuesto listado de contraseñas u otros ganchos similares, suficientemente tentadores para que algún usuario incauto caiga en el engaño y lo abra, dando paso así al malware en su sistema.


https://www.muyseguridad.net/2021/04/15/100000-paginas-con-pdf-maliciosos/ (https://www.muyseguridad.net/2021/04/15/100000-paginas-con-pdf-maliciosos/)


Título: Re: 100.000 páginas web con fake-documentos PDF maliciosos
Publicado por: Serapis en 21 Abril 2021, 17:16 pm
... esto no es una crítica al formato, claro, ocurre lo mismo que con los documentos de Microsoft Office, algunas de sus funciones pueden ser empleadas con fines malintencionados, y el principal problema de seguridad pasa por la descarga u obtención...
Pues yo si critico el formato.
Un documento debe ser un objeto estático de datos, lo contrario es una aplicación. Entonces con estos formatos la línea entre documento y aplicación se diluye para ser ambos.
Desde mi punto de vista, lo tengo muy claro. Si un formato no se limita a mantener datos estáticos, es una aplicación. Y ahí, ya como cualquier otra aplicación está sujeta a fallos e intentos de manipulación.

El usuario es inocente desde el momento en que al llamarlo 'documento', confía en que solo mantiene datos y no que se ejecutan 'cosas' dentro de dicho formato. Los creadores de los formatos, no, porque bajo el palabro 'documento' toleran el  engaño que al final pasa factura y de usuario de un documento pasa a ser víctima del formato cuando es atacado.

Habrá quien piense que en vez de atacar al documento se puede por igual atacar a la aplicación que maneja el documento... pero hay claras diferencias. La más importante es que se pueden tener diferentes aplicaciones para abrir ese documento, con lo que se puede asumir que no todas van a tener los mismos problemas al mismo tiempo, una aplicación se puede parchear... pero el fake-documento... queda ahí.


Título: Re: 100.000 páginas web con documentos PDF maliciosos
Publicado por: el-brujo en 21 Abril 2021, 17:50 pm
En éste caso eran plantillas de documentos PDF, que además estaban bien posicionados en las búsquedas de Google

Distribuyen malware en plantillas PDF maliciosos
https://blog.elhacker.net/2021/04/plantillas-pdf-maliciosas.html

Sobre la seguridad en Documentos PDF, como bien dice Serapis, PDF tiene bastante "potencial" para añadir cosas

- Desactivar javascript
- No habilitar contenido externo

Estructura archivos PDF con malware - Análisis y prevención
https://blog.elhacker.net/2021/02/estructura-archivos-pdf-con-malware-analisis-estatico-y-prevencion-desactivar-javascript.html

Embedding backdoor into PDF files con Metasploit
https://infosecwriteups.com/embedding-backdoor-into-pdf-files-1781dfce62b1

Código:
msf > use exploit/windows/fileformat/adobe_pdf_embedded_exe


Y para analizar documentos PDF, Word, Excel (Office)

Herramientas para el análisis archivos de Microsoft Office
https://blog.elhacker.net/2021/04/herramientas-para-el-analisis-archivos-maliciosos-maldoc-office-pdf.html


Título: Re: 100.000 páginas web con documentos PDF maliciosos
Publicado por: [D]aniel en 21 Abril 2021, 21:20 pm
Hola, hace muchos años me llegó un correo con extensión .gov.ar y el nombre o dominio del correo era algo como defensadeldeudor y decía algo como esto según recuerdo:

Título:

NOTA IMPORTANTE: ULTIMO AVISO!!!


Cuerpo del mensaje:

NOTA IMPORTANTE: ÚLTIMO AVISO                                          INFORME N° 4937

NOS DIRIGIMOS A UD. POR ULTIMA VEZ PARA INFORMARLE QUE SI NO REGULARIZA SU SITUACIÓN, PROCEDEREMOS A INICIAR UN JUICIO CON NUESTROS ABOGADOS.
ESTE MENSAJE ES LA ÚLTIMA ADVERTENCIA ANTES DE QUE PROCEDAMOS A INICIAR UN JUICIO POR DEUDOR.

PARA QUE UD. PUEDA SABER CUÁL ES SU SITUACIÓN Y COMO SOLUCIONARLA, POR FAVOR DESCARGUE LOS SIGUIENTES ARCHIVOS EN DONDE ESTÁN DETALLADAS LAS FALTAS QUE UD. TIENE ACTUALMENTE.

PDF 1           PDF 2


Atte: Defensa del Deudor



Yo jamás tuve ninguna deuda, así que descarté ese correo, tenía 2 archivos PDF que obviamente no los descargue, aunque yo hice caso omiso a eso, pero mucha gente puede caer en la trampa y más que nada por como estaba elaborado ese mail y además que nadie se quisiera meter en problemas legales miraría esos PDF para saber qué es lo que dicen, para que puedan saber de las supuestas deudas que tienen y ahí caen en la trampa.


Saludos