Cada vez más correos fraudulentos usan 'PDFs' adjuntos para colarte malware: cómo asegurarte de que un fichero es lo que dice ser

Cada vez más correos fraudulentos usan 'PDFs' adjuntos para colarte malware: cómo asegurarte de que un fichero es lo que dice ser
1 comentario

'Vendernos' un formato de archivo y terminar colándonos otro es una de las técnicas que más usan para hacerse con nuestros datos los ciberestafadores y los creadores de virus y otras clases de malware. Saber diferenciar entre los mismos es una habilidad simple pero fundamental para evitar ser víctima de esta clase de engaños.

En las últimas semanas, hemos cubierto varios casos de ciberestafas en las que una campaña basada en mensajes de móvil, e-mail y/o webs fraudulentas utilizaba el 'gancho' de algún documento importante (una carta sobre un familiar fallecido, o una citación judicial o comprobante de pago) para animarnos a descargar un archivo que terminaba siendo, bien un ejecutable, bien un fichero comprimido con ejecutable dentro.

Así, normalmente esperamos descargar un archivo PDF (.pdf), en ocasiones, un archivo de Word (.doc, .docx) o de Excel (.xls, .xlsx)… pero lo que recibimos son ficheros .rar, .zip, .7z, etc., (comprimidos) o .exe, .ps1, .bat, etc. (ejecutables y scripts).

Un vistazo a…
Ransomware: qué es, cómo infecta y cómo protegerse

El archivo puente: cuando el PDF sí es un PDF, pero intenta engañarnos

En otros casos, el engaño en más sutil, y el documento del formato prometido nos induce a descargar otro, ejecutable y malicioso. El blog corporativo de la compañía de ciberseguridad ESET desvelaba hace unos días un ejemplo de esto…

…una campaña que hace uso de un e-mail en inglés en el que alguien nos envía una letra de cancelación (empleada para cancelar o extinguir un servicio o un contrato) que, una vez descargado, sí resulta ser un fichero PDF, como prometía…

pero sólo nos muestra un supuesto aviso del lector de documentos (no es tal, sólo es el aspecto del PDF)  en el que se nos anima a pulsar un botón. En español, viene a decir lo siguiente:

"Este documento contiene archivo protegidos, para mostrarlos, haz clic en el botón de 'open'".

Basta con situar el cursor sobre el botón en cuestión para comprobar que tan sólo es un hiperenlace a un archivo comprimido (.zip) colgado en una página web.

¿Qué hacer?

Comprobar qué nos estamos bajando

Si el fichero nos llega por e-mail, el cliente de correo nos indicará la extensión de archivo y/o nombre del formato real del fichero. En el ejemplo correspondiente a la estafa anterior, vemos —por el icono— que lo que nos llega es un verdadero PDF:

Cancel1b
vía ESET

En este otro cliente de correo se aprecian mejor, de un solo vistazo, los dos elementos que nos ayudarán a determinar el tipo de fichero que vamos a descargar: el icono y la extensión del archivo (el final del nombre, situada a la derecha del punto).

Ejemplo1

Un segundo vistazo a la extensión del archivo

Si nuestro cliente de correo no permite visualizar la extensión, o si nos hemos bajado el documento por otros medios y ya está en nuestro disco duro, deberemos asegurarnos de comprobar por nosotros mismos ese dato desde el explorador de ficheros de nuestro sistema operativo.

Para eso, deberemos activar la visualización de extensiones de archivo, tal como se indica en la siguiente imagen, y acceder a la carpeta donde hayamos descargado el archivo potencialmente malicioso:

Explo1

Asegurarnos de dónde pulsamos

Si, como en el ejemplo de más arriba, el documento que nos descargamos (el que supuestamente incluye el contenido que estamos buscando visualizar) nos anima a pulsar un botón o un enlace, cuidado. Primero, probemos el truco de antes: situar el cursor sobre el botón/enlace y comprobar qué dirección aparece en el aviso emergente.

Cancel3b
vía ESET

Comportamiento inesperado

Si al abrir lo que nosotros pensamos que es un documento legible se despliega una ventana de terminal o una ventana con un listado de archivos, desconfiemos: no es así como se comportan los archivos PDF o de Office.

En ocasiones, los ficheros ejecutables que se hacen pasar por documentos PDF simulan ser una ventana de nuestro lector de documentos, como en este ejemplo:

Captcha
vía ESET

Desconfiemos si:

  • La interfaz no es la habitual que conocemos de otras veces que hemos abierto un PDF.
  • La interfaz está en inglés, mientras que nuestro sistema operativo está en español.
  • El programa que se muestra no es nuestro lector de PDFs por defecto (suelen suplantar a los más populares, pero si nosotros tenemos uno más minoritario el engaño será más fácil de detectar).
  • Se nos pide realizar acciones inesperadas, como rellenar un captcha para acceder a un PDF (ver imagen anterior).

Imagen | Sam Williams en Pixabay

En Genbeta| Es 2023 y hay trámites que aún no aceptan PDF digitales. Así que hay gente inventando formas de que parezcan documentos escaneados


Temas
Inicio