Invitación a los premios Nobel con exploit incluido

Muy convincente ¿verdad?

El correo electrónico incluye un archivo adjunto que es la "invitación oficial" para el evento. Y es esta "invitación formal" la que lleva las "sorpresas" para la víctima. En el momento en que el archivo PDF disfrazado de invitación es abierto, se activa un Exploit PDF (detectado por BitDefender ® como Exploit.PDF-TTF.Gen) con el fin de desencriptar y soltar tres componentes:

• iso88591 que contiene el payload;
• svchost.exe (identificado por BitDefender como Trojan.Dropper.Agent.VCS) que soltará un archivo en c:\windows\midimap.dll. Como hay otro archivo midimap.dll en la carpeta system32, cualquier aplicación que llame a las funciones de la DLL original en realidad estará llamando al archivo DLL malicioso que tiene una ruta más corta. Esta técnica se llama secuestro DLL y hará que todos los programas que necesitan reproducir un sonido (incluyendo reproductores multimedia, clientes de mensajería instantánea, navegadores y similares) activen el código malicioso;
• un archivp PDF limpio con una invitación para engañar a la víctima y que ésta siga creyendo que el correo es legítimo

Después de que los archivos maliciosos se hayan creado, el archivo PDF infectado cierraAdobe ® Reader ® y lo reinicia para mostrar el contenido del PDF limpio que actúa como engaño. De esta manera, el usuario es conducido a creer que todo ha ido tal como se describe en el mensaje y lo más probable es que pase por alto lo que sucedió en su equipo en segundo plano.

El backdoor intenta llamar a su casa [eliminado].3322.org y envía información sobre el nombre del sistema, sobre quién ha iniciado la sesión en el usuario, la CPU y la memoria física, etc. Cuando la comunicación entre el backdoor y el servidor de control se produzca, tu equipo estará ya, definitivamente, en manos de un atacante remoto.

Ha habido varios engaños en torno al Premio Nobel en los últimos tiempos. Puede que recuerdes nuestro informe anterior sobre como en el sitio oficial del premio nobel había sido hackeado y utilizado para difundir un fallo de Firefox 0-day. Así que recuerda siempre que hay que sospechar e los mensajes de contactos desconocidos y de los datos adjuntos a los mismos. En lugar de abrirlos directamente desde el cliente de correo electrónico, descarga los archivos adjuntos y escanéalos con tu antivirus.

Además, ten en cuenta que Adobe ha publicado un parche para proteger a los usuarios de la vulnerabilidad, así que asegúrate de que has actualizado tu aplicación antes de abrir cualquier documento PDF.