Vulnerability Team

Es difícil ignorar una invitación a los premios Nobel de la paz. Y eso es precisamente lo que querían los ciberdelincuentes cuando comenzaron a enviar un correo electrónico fraudulento con ese asunto. En concreto, la víctima recibe un correo electrónico falso con una invitación a la ceremonia del Premio Nobel otorgado a Liu Xiaobo que tiene este aspecto:

Muy convincente ¿verdad?
El correo electrónico incluye un archivo adjunto que es la "invitación oficial" para el evento. Y es esta "invitación formal" la que lleva las "sorpresas" para la víctima. En el momento en que el archivo PDF disfrazado de invitación es abierto, se activa un Exploit PDF (detectado por BitDefender ® como Exploit.PDF-TTF.Gen) con el fin de desencriptar y soltar tres componentes:

• iso88591 que contiene el payload;
• svchost.exe (identificado por BitDefender como Trojan.Dropper.Agent.VCS) que soltará un archivo en c:\windows\midimap.dll. Como hay otro archivo midimap.dll en la carpeta system32, cualquier aplicación que llame a las funciones de la DLL original en realidad estará llamando al archivo DLL malicioso que tiene una ruta más corta. Esta técnica se llama secuestro DLL y hará que todos los programas que necesitan reproducir un sonido (incluyendo reproductores multimedia, clientes de mensajería instantánea, navegadores y similares) activen el código malicioso;
• un archivp PDF limpio con una invitación para engañar a la víctima y que ésta siga creyendo que el correo es legítimo

Después de que los archivos maliciosos se hayan creado, el archivo PDF infectado cierraAdobe ® Reader ® y lo reinicia para mostrar el contenido del PDF limpio que actúa como engaño. De esta manera, el usuario es conducido a creer que todo ha ido tal como se describe en el mensaje y lo más probable es que pase por alto lo que sucedió en su equipo en segundo plano.

El backdoor intenta llamar a su casa [eliminado].3322.org y envía información sobre el nombre del sistema, sobre quién ha iniciado la sesión en el usuario, la CPU y la memoria física, etc. Cuando la comunicación entre el backdoor y el servidor de control se produzca, tu equipo estará ya, definitivamente, en manos de un atacante remoto.

No es la primera vez que utilizan los premios Nobel para realizar ataques de este tipo; recomedamos NO abrir ningun tipo de mensaje que provenga de alguna persona o entidad desconocida, tambien que que en lugar de abrirlos directamente desde el cliente de correo electrónico, se descarguen los archivos adjuntos y  antes de abrirlos analizarlos con antivirus.

Además, ten en cuenta que Adobe ha publicado un parche para proteger a los usuarios de la vulnerabilidad, así que asegúrate de que has actualizado tu aplicación antes de abrir cualquier documento PDF.

fuente: laflecha.net 

Debido a la gran cantidad de archivos PDF infectados los cuales son explotado por multiples vulnerabilidade, la compañaia Zynamics ha creado la aplicacion denominada PDF Dissector,  una aplicación escrita en Java que muestra el contenido del documento de forma estructurada, facilitando las tareas de la inspección.

1. Presenta el archivo de forma "física" o "lógica". Es decir, tal y como esta almacenado en disco o siguiendo la estructura del documento.
2. Opciones desarrolladas para la extracción y compresión del código JavaScript (en el que generalmente se introduce la vulnerabilidad):
• Decodifica los objetos "Stream" que contengan código. De tal forma que se facilite la extracción, ya que en ocasiones los objetos estas comprimidos y no pueden ser vistos directamente.
• Ejecución en un intérprete propio Javascript, para entender el código malicioso.
• Ejecución en una emulación del intérprete de Javascript de Acrobat
• Procesamiento del código, tabulando y mostrándolo de forma más visual y comprensible.
3. Identificación de vulnerabilidades conocidas.