Los delincuentes cibernéticos utilizan ahora la nueva técnica de estenografia para difundir el poderoso exploit de PDF ofuscado con el fin de comprometer los objetivos y evadir la detección.
Los piratas informáticos malintencionados siempre están encontrando nuevas técnicas para explotar las vulnerabilidades y comprometiendo a las victimas sin más interacción con el usuario para aumentar la proporción de éxito del ataque.
La esteganografia es la técnica de ocultar datos secretos y datos maliciosos dentro de un archivo o mensaje ordinario, no secreto, para evitar la detección; Los datos secretos se extraen en su destino.
En esto caso los atacantes utilizan este método para ocultar el código malintencionado de Javascript en las imágenes que luego se incrustaron en archivos PDF para evitar el antivirus software.
Una muestra identificada se cargó en Virustotal el 2017-10-10, con un nombre de archivo “oral-b oxicorte spec.pdf ”.
Se detectó una muestra de este exploit como “ exploit CVE-2013-3346.“ ,Inicialmente, se detectó un solo motor AV en este virus en el total de virus , más tarde, unos pocos motores AV más lo detectaron como explotación de PDF.
Analizando el PDF Exploit
Los investigadores descubrieron que hay dos capas diferentes de ofuscación que se han utilizado en esta vulnerabilidad de PDF.
La primera capa utiliza dos funciones diferentes "this.getPageNumWords ()" y "this.getPageNthWord ()" para extraer páginas PDF basadas en contenido oculto.
La segunda capa contiene "contenido de Javascript" almacenado en stream-119 junto con dos API JS de PDF, this.getIcon () y util.iconStreamFromIcon().
Basándose en las referencias de la API, estas dos API, trabajando juntas, deben leer la secuencia de una imagen denominada como "icono" almacenada en el archivo PDF.
De acuerdo a arista de bordesinvestigación, "Al examinar el código Javascript anterior, descubrimos que la función del código es leer y decodificar el" mensaje "oculto en el flujo del icono. Una vez que lea el "mensaje" con éxito, ejecutará el "mensaje" como código Javascript, a través de "eval (msg)".
El flujo de íconos denominado "icono" en el objeto-131 podria guardarse como un archivo "jpg" y verse en el visor de imágenes sinproblema.”
No se encontraron datos maliciosos dentro del archivo "icono" ya que el archivo está muy confuso.
En este caso, los atacantes copiaron la técnica de esteganografia de código abierto llamada " steganography.js " para realizar con éxito este ataque.
“Creemos que la persona detrás de las muestras en PDF hizo su innovación al aprovechar con éxito la técnica en formato PDF. No hemos podido encontrar ninguna información que mencione dicha técnica en las vulnerabilidades de PDF antes, por lo que creemos que esta es la primera vez que se utiliza la técnica de "esteganografia" para ocultar las vulnerabilidades de PDF ", dijeron los investigadores.
Fecha actualización el 2021-01-28. Fecha publicación el 2019-01-28. Categoría: hackers Autor: Oscar olg Mapa del sitio Fuente: gbhackers