Hace pocos días nuestro compañero Oscar recibió un correo en el que se le invitaba a acceder a una página web por medio de un link, nada nuevo bajo el sol. Al hacer click en dicho enlace (niños, esto no lo hagáis en vuestras casas 😉 ), nos aparece la siguiente página:
Como se puede ver, al entrar en la página enlazada nos aparece una ventana de descarga, en la que nos invitan a bajarnos un fichero llamado 60.pdf. Y como nosotros somos muy curiosos nos descargamos el fichero. Al abrir sólo nos encontramos con un documento pdf, de sola página en blanco; mal asunto. Pero si lo estudiamos un poquito, veremos que este PDF contiene diferentes exploits que afectan a diferentes vulnerabilidades, dependiendo de la versión de Acrobat Reader que tengamos instalada.
Primera vulnerabilidad CVE-2008-2992
Si la versión de nuestro lector de pdf es superior a la 8 explotará la vulnerabilidad CVE-2008-2992.
La vulnerabilidad explota un error al procesar cadenas de formato que provocaría la ejecución de código por parte del atacante.
La segunda vulnerabilidad CVE-2008-0015
Explota una vulnerabilidad que existe en los lectores inferiores a la versión 8.
Tercera vulnerabilidad. CVE-2009-0927
Todas las vulnerabilidades poseen su correspondiente parche de seguridad desde hace bastante tiempo, es decir, las vulnerabilidades no son nuevas, pero parece un sistema muy efectivo ya que no dejan de utilizarlo.
El malware que instalaba era… ¡no, esta vez no es un falso antivirus! Esta vez se trata de un troyano bancario…
Esta entrada ha sido escrita en nombre de JJ Ruiz de Loizaga.