¿Has escuchado el consejo de seguridad informática que dice «No abras archivos adjuntos»? Aunque es un buen consejo, en la práctica, puede ser complicado de seguir. Imagina recibir un correo de alguien que afirma trabajar para un cliente importante y te envía un archivo titulado «CONTRATO CANCELADO.pdf». ¿Realmente vas a responder con: «Lo siento, no abro archivos adjuntos»?
Los archivos PDF son comunes en las campañas de correo electrónico, ya que pueden incluir enlaces a malware, códigos QR que redirigen a sitios de phishing o facturas falsificadas que imitan instituciones como bancos o servicios públicos.
Herramienta PDF Object Hashing (para analistas)
Una herramienta de código abierto llamada
PDF Object Hashing
ha sido desarrollada para identificar archivos PDF maliciosos a partir de su análisis estructural.
Creada por Proofpoint, esta herramienta permite a los equipos de seguridad establecer reglas de detección de amenazas basadas en características únicas de los objetos en PDFs, ayudando a rastrear a múltiples grupos de delincuentes.
Esta innovación responde a la creciente tendencia de los ciberdelincuentes a utilizar archivos PDF para propagar malware, phishing de credenciales y ataques de compromiso de correo electrónico empresarial (BEC).
Al enfocarse en la estructura del documento en lugar de elementos volátiles como URLs o imágenes, la herramienta permite atribuir estos archivos a grupos específicos de amenazas, adaptándose a los cambios en sus tácticas. Proofpoint indica que estos PDF pueden activar cadenas que llevan a troyanos o robo de datos.
Sin embargo, la complejidad del formato PDF, que admite muchas variaciones para garantizar la compatibilidad, presenta desafíos en la detección, desde flujos cifrados que ocultan URI hasta objetos comprimidos que esconden cargas útiles.
El principal desafío reside en la versatilidad del PDF: existen seis tipos válidos de espacios en blanco, tablas de referencias cruzadas que pueden comprimirse y objetos que pueden incrustar o referenciar parámetros indiscriminadamente. El cifrado complica todavía más la situación, mostrando solo la estructura del documento y ocultando detalles como enlaces dañinos.
En lugar de depender de detecciones frágiles, como hashes de archivos o URLs, podemos concentrarnos en la estructura del documento. Aunque hay técnicas más robustas que utilizan dhash para comparar imágenes, el hash de objetos PDF se aplica a la estructura global del documento, permitiendo ignorar imágenes engañosas.
Al examinar los tipos de objetos y su orden, sin considerar sus parámetros específicos, se puede crear un «esqueleto» o «plantilla» que representa la estructura general de un PDF. Estos objetos se usan para generar una «huella digital» única a partir del hash de sus valores, lo que permite rastrear una amplia gama de PDFs para identificar otros que coincidan con esa «huella digital».
Las firmas tradicionales no son efectivas ante estas evasiones, ya que mínimos cambios pueden invalidar los hashes. El hash de objetos PDF elude esto analizando la jerarquía de objetos del archivo y extrayendo tipos como Pages, Catalog, XObject/Image, Annotations/Link, Metadata/XML, Producer y Font/Type1.
Estos se concatenan en un orden específico, formando una «huella digital» estable, similar a imphash para ejecutables. Esto ignora cambios en los señuelos, como imágenes actualizadas, permitiendo agrupar archivos relacionados. Los hashes superpuestos (visualizados en diagramas verde-amarillo) revelan conexiones entre variantes, facilitando la búsqueda de amenazas sin necesidad de descifrado.
Proofpoint utilizó esta herramienta para rastrear a UAC-0050, un grupo enfocado en Ucrania que emplea PDFs cifrados que suplantan OneDrive. Estos distribuyen el RAT de NetSupport a través de URLs con JavaScript, evadiendo los analizadores debido al cifrado.
El hash reveló similitudes estructurales, permitiendo crear rápidamente firmas y bloquear la carga útil (SHA256:
ee03ad7c8f1e25ad157ab3cd9b0d6109b30867572e7e13298a3ce2072ae13e5).
Asimismo, UNK_ArmyDrive, un grupo basado en India, activo desde mayo de 2025, utiliza PDFs en engaños BEC, como documentos falsos del Ministerio de Bangladesh (SHA256:
08367ec03ede1d69aa51de1e55caf3a75e6568aa76790c39b39a00d1b71c9084).
Herramienta Dangerzone (para usuarios y periodistas)
Dangerzone es una
herramienta de código abierto
diseñada para abordar este problema. Puedes instalar Dangerzone en cualquier sistema operativo y utilizarlo para abrir diferentes tipos de documentos: PDF, archivos de Microsoft Office o LibreOffice, e imágenes. Aunque el documento original sea potencialmente peligroso, Dangerzone lo convertirá en un PDF seguro que puedes abrir y leer.
Es similar a imprimir un documento y luego escanearlo para eliminar elementos sospechosos, pero todo se realiza con software.
¿Por qué puede ser peligroso un documento?
Los PDFs y documentos de Office son extremadamente complejos. Pueden configurarse para cargar automáticamente una imagen desde un servidor remoto al abrir el archivo, rastreando cuándo se abre y desde qué dirección IP.
Pueden contener JavaScript o macros que, dependiendo de la configuración de tu software, podrían ejecutar código automáticamente al abrirse, comprometiendo tu equipo. Además, como cualquier software, los programas que utilizas para abrir documentos (Preview, Adobe Reader, Microsoft Word, LibreOffice, etc.) pueden tener vulnerabilidades que los atacantes pueden explotar para tomar control del sistema operativo.
Inspirado por Qubes TrustedPDF
La idea detrás de Dangerzone se originó en QubesOS, un sistema operativo que ejecuta todo en máquinas virtuales. En Qubes, tienes la opción de hacer clic derecho en un PDF y seleccionar «Convertir a TrustedPDF». En 2018, Micah Lee presentó una charla titulada «Qubes OS: El sistema operativo que puede protegerte incluso si te hackean», donde explica cómo funciona TrustedPDF (a partir del minuto 9:20).
Dangerzone toma inspiración de TrustedPDF, pero opera en sistemas no-Qubes. Emplea entornos aislados de gVisor que funcionan en contenedores Linux para abrir documentos peligrosos, en lugar de utilizar máquinas virtuales. Además, incorpora características que TrustedPDF no ofrece: trabaja con cualquier documento de Office, no solo PDFs; utiliza reconocimiento óptico de caracteres (OCR) para permitir que el PDF seguro tenga texto con capacidad de búsqueda; y comprime el PDF final seguro.
Dangerzone utiliza contenedores y, al instalarlo, primero instala Docker
Desktop.
Al iniciar el contenedor que limpiará el documento sospechoso, Dangerzone establece un entorno aislado de gVisor dentro de ese contenedor y realiza el procesamiento de documentos potencialmente peligrosos dentro de dicho entorno. Esto asegura que el procesamiento del documento esté separado del núcleo de Linux.
Este entorno aislado y su contenedor base están configurados para desactivar la red y no montar nada desde el sistema archivo del host. Por lo tanto, si un documento malicioso intenta ejecutar código, no tendrá acceso al núcleo del host, ni a sus datos, y no podrá conectarse a Internet, limitando su capacidad de daño.
Estos son los tipos de documentos que Dangerzone puede convertir de forma segura a PDF:
- PDF (.pdf)
- Microsoft Word (.docx, .doc)
- Microsoft Excel (.xlsx, .xls)
- Microsoft PowerPoint (.pptx, .ppt)
- Texto ODF (.odt)
- Hoja de cálculo ODF (.ods)
- Presentación ODF (.odp)
- Gráficos ODF (.odg)
- EPUB (.epub)
- JPEG (.jpg, .jpeg)
- GIF (.gif)
- PNG (.png)
- SVG (.svg)
- TIFF (.tif, .tiff)
- Otros formatos de imagen (.bmp, .pnm, .pbm, ppm)
Fuente: CyberSecurityNews
Con Información de blog.segu-info.com.ar