Los hackers emplean diversas técnicas para llevar a cabo ataques cibernéticos, desde el robo de datos personales y contraseñas hasta el control de dispositivos. Estas estafas pueden manifestarse incluso a través de un simple correo electrónico. En este artículo, abordaremos una nueva herramienta que los cibercriminales pueden utilizar para alcanzar sus objetivos. Hablamos de MatrixPDF, que tiene la capacidad de transformar archivos PDF en señuelos para ataques de phishing y malware.
Este problema fue identificado por investigadores de Varonis, según el informe técnico publicado el 30 de septiembre por Varonis Threat Labs, que se puede consultar en su sitio oficial. Advierte que los usuarios de Gmail están en riesgo debido a este tipo de archivos PDF adjuntos. Es crucial que estés informado y sepas cómo reaccionar ante esta amenaza.
MatrixPDF, una herramienta para propagar malware
Los desarrolladores de MatrixPDF promocionan esta herramienta maliciosa en foros de la Dark Web y a través de canales de Telegram. La presentan como una herramienta de simulación de phishing y para pruebas de seguridad. Sin embargo, en manos equivocadas, puede servir para propagar malware y ejecutar ataques de phishing.
Esta herramienta se comercializa a un precio que oscila entre 400 y 1500 dólares al año, según reportes de Bleeping Computer, quienes han accedido a estos foros de delincuentes. Esto brinda a los atacantes la oportunidad de usar esta herramienta en sus ataques utilizando archivos PDF.
El funcionamiento de MatrixPDF es bastante simple. El hacker sube un PDF legítimo como señuelo y luego le añade funciones maliciosas, como contenido difuminado, mensajes falsos de «Documento Seguro» y enlaces interactivos que redirigen a páginas maliciosas. Además, puede incrustar acciones en JavaScript que se activan al abrir el documento o hacer clic en un botón.
Esta herramienta permite crear un archivo PDF que simula tener contenido protegido y que redirige a una web maliciosa tras un clic. Desde allí, esa página puede contener malware o estar diseñada para robar contraseñas.
Un aspecto alarmante, como han señalado desde Varonis, es que los atacantes pueden enviar un PDF malicioso de este tipo y eludir los filtros de seguridad de Gmail. Estos archivos no incluyen binarios maliciosos, sino solo enlaces externos. Además, ningún antivirus, según informan, puede detectar nada sospechoso en ese archivo PDF, ya que el contenido se descarga solo después de hacer clic.
Cómo proceder
Como has podido observar, los atacantes pueden crear archivos PDF maliciosos que parecen totalmente legítimos. Pueden incluso burlar los filtros de seguridad de Gmail o engañar a los usuarios. Por lo tanto, es más crucial que nunca mantener el sentido común y evitar errores. No debes descargar ni hacer clic en archivos extraños que recibas por e-mail.
Estos archivos pueden suplantar la identidad de tu banco, una marca reconocida o un servicio en línea. Es fundamental que examines todo cuidadosamente y que evites caer en las trampas que utilizarán, como mensajes urgentes o invitaciones a sorteos o regalos.
Desde Varonis indican que la IA puede analizar la estructura de los PDF, detectar elementos visuales engañosos y enlaces maliciosos. Además, evalúa las URL incrustadas en un entorno seguro, lo que puede ayudar a bloquear estos archivos antes de que lleguen a tu bandeja de entrada.
Más allá de las recomendaciones generales, el informe de Varonis detalla patrones específicos en estos archivos fraudulentos:
- Falsos sellos de seguridad: Busca imágenes o logotipos de ‘Documento Seguro’ o ‘Contenido Protegido’ que parezcan de mala calidad, desalineados o erróneamente superpuestos sobre el contenido.
- Contenido borroso o difuminado: Esta técnica muestra el texto del documento de forma ilegible, forzando al usuario a hacer clic en un botón de ‘Ver Contenido’ o ‘Desbloquear’. Un PDF legítimo protegido por contraseña solicitaría la clave a través de una ventana nativa del lector, no mediante un botón en el documento.
- Botones interactivos sospechosos: Pasa el ratón (sin hacer clic) sobre cualquier botón. Si la URL que aparece en la parte inferior del navegador es un acortador (ej. bit.ly, t.ly) o no coincide con el dominio esperado de la empresa, es una señal de alerta clara.
Como consejo adicional, es vital mantener tus dispositivos actualizados. Asegúrate de contar con las últimas versiones del sistema operativo y de cualquier programa que utilices regularmente. Esto te ayuda a corregir vulnerabilidades que podrían poner en riesgo tu seguridad y privacidad.
Preguntas frecuentes
¿Me protege un antivirus?
Un antivirus puede ayudarte a detectar y eliminar diversas amenazas, pero debes recordar que no te protege de todos los tipos de problemas, como el phishing.
¿Puede afectarme el phishing si utilizo otro proveedor de e-mail?
Sí, podrías ser víctima de un ataque de phishing sin importar el proveedor de correo electrónico que uses.
¿Qué sucede si soy víctima de este malware?
Podrían robar tus datos personales, contraseñas y comprometer el control de tu dispositivo.
