Hace un mes escribíamos sobre una vulnerabilidad 0-day de Adobe aprovechada para propagar malware. Un mes después vemos como archivos PDF infectados se encuentran en sitios latinoamericanos vulnerados.

Recordando la noticia de que un exploit 0-day salteaba la nueva protección de Adobe a través de un formulario falso de VISA para Turquía de hace algunas semanas atrás, podíamos observar como se explotaba una vulnerabilidad a través de Ingeniería Social. Particularmente el caso estudiado no era tan cercano a la región, ya sea por la distancia como por la eventual cantidad de solicitantes de la visa para viajar a este país bicontinental. No obstante, de acuerdo a un análisis realizado con información de lo que va corrido de marzo de sitios web vulnerados con dominio latinoamericano da cuenta que este malware ya alcanza a la región, como se puede observar la tasa de infección en el gráfico a continuación:

Las variantes detectadas bajo la firma JS/Exploit.Pdfka corresponden a detecciones de archivos PDF que han sido modificados insertado código en JavaScript. Puntualmente las versiones de Adobe Acrobat/Reader vulnerables son de las versiones 7, 8 y 9.

Al revisar las URL vulneradas, se encontraron documentos PDF con diferentes contenidos: publicidad, tablas con calendarios de inversión, información sobre scripts entre otros. Además los sitios web vulnerados que contenían los archivos PDF maliciosos corresponden en su mayoría a sitios para la descarga de música, de restaurantes, tiendas en línea y algunos más con información de personas o pequeñas empresas. A continuación, se muestra una captura de como detectan los productos de ESET la amenaza una vez que se intenta acceder a un sitio que tiene los archivos maliciosos, lo cual es una prueba de lo importante que es contar con una solución de seguridad que alerte sobre las amenazas que el usuario pueda encontrar en su navegación.

En los dominios que fueron analizados se encontraron cinco variantes diferentes de JS/Exploit.Pdfka, las cuales parecieran estar relacionadas con el país al cual corresponde el dominio en que se encontraba alojado. Para Argentina la variante JS/Exploit.Pdfka.QEF es la dominante, mientras que para los sitios de Chile la variante encontrada fue JS/Exploit.Pdfka.QCT. En sitios que tenían dominios de Colombia y Brasil compartían las restantes tres variantes, pero en Colombia el 60% de las variantes halladas correspondían a la variante JS/Exploit.Pdfka.QDP, mientras que para Brasil el 90% son de la variante JS/Exploit.Pdfka.QDW.

Además es importante hacer énfasis que si bien muchas de las amenazas empiezan su propagación con objetivos fuera de Latinoamérica, en el corto plazo pueden empezar a ser utilizadas en la región. Ya antes se han visto este tipo de tendencias con otros códigos malciosos como el troyano SMS Boxer que llegó a afectar nueve países latinoamericanos a finales del año pasado o Dorkbot que tuvo más afectados en Latinoamérica que en el resto del mundo en el mismo período.

Finalmente vale la pena recordar que Adobe lanzó una actualización para corregir esta vulnerabilidad en los productos afectados. La información sobre estas actualizaciones se puede encontrar en el boletín de seguridad de actualización de Adobe publicado el 20 de febrero. A todos nuestros lectores les sugerimos mantener actualizadas todas las aplicaciones que tienen instaladas en sus computadoras para prevenir que agujeros de seguridad puedan ser utilizados para llevar adelante acciones maliciosas. Este tipo de buenas prácticas son un complemento al hecho de tener una solución de seguridad instalada que brinde la protección proactiva adecuada.

H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research