Los cibercriminales no dejan de encontrar nuevas formas de aprovecharse de los usuarios. Investigadores de la firma de seguridad Zimperium han descubierto una campaña de phishing que suplanta al Servicio Postal de los Estados Unidos (USPS), utilizando archivos PDF maliciosos para robar credenciales y datos personales.

Esta estrategia, que se centra exclusivamente en dispositivos móviles, emplea técnicas de ocultación sin precedentes para evadir los sistemas de seguridad tradicionales.

PDFs: falsa sensación de seguridad

Los archivos PDF ya son un estándar en lo que respecta al envío corporativo de documentos (los usamos para enviar contratos, facturas, documentos legales, etc.).

El hecho de que no se les vincule habitualmente con características inseguras (como los macros de los archivos de Office) ha generado una falsa sensación de seguridad entre los usuarios, que asumen erróneamente que todos los PDFs son seguros.

De esta confianza se han aprovechado los ciberdelincuentes, que encuentran ahora en este formato un canal ideal para difundir malware y lanzar ataques de phishing.

En entornos móviles, la situación se agrava debido a la limitada capacidad de los usuarios para inspeccionar archivos antes de abrirlos. Además, los sistemas de seguridad habitualmente presentes en dispositivos portátiles rara vez cuentan con la robustez necesaria para detectar amenazas avanzadas escondidas en PDFs.

En Genbeta

Cada vez más correos fraudulentos usan 'PDFs' adjuntos para colarte malware: cómo asegurarte de que un fichero es lo que dice ser

Cómo funciona la estafa

…