Los archivos PDF con código QR son el objetivo del malware identificado por los expertos en ciberseguridad de SonicWall

Cada año se crean más de 2,5 billones de PDF, lo que convierte a este

formato en uno de los más populares del mundo.

Bogotá, Colombia – agosto de 2024 – SonicWall, proveedor de protección de
ciberseguridad para fuerzas de trabajo remotas, móviles y en la nube, ha anunciado
que el equipo de investigación de amenazas de SonicWall Capture Labs ha identificado
archivos PDF con códigos QR que están siendo explotados por ciberdelincuentes.
Cada año se crean más de 2,5 billones de archivos PDF, un formato creado en 1993
por Adobe System y que sigue siendo extremadamente popular. En 2023, el 98% de
las empresas afirmaron que utilizarían este formato para compartir documentos
internos y externos. Un estudio basado en búsquedas de Google indica que, en 2014,
PDF era el formato más utilizado en el mundo, seguido de .DOC y .XLS, una evolución
de este estándar es el creciente uso de los códigos QR en el universo PDF.
Además de los pagos y la retroalimentación, los códigos QR tienen una amplia gama
de aplicaciones en diversas industrias, como el marketing, el comercio minorista, la
educación, la salud, la hostelería, el transporte, el sector inmobiliario, los servicios
públicos, el entretenimiento, las operaciones comerciales, el uso personal, etc.
Los creadores de programas maliciosos aprovechan esta popularidad. «Hemos notado
que muchos archivos PDF provienen de correos electrónicos (fax) que contienen
códigos QR que piden a los usuarios escanearlos con la cámara de su smartphone.
Algunos dicen ser actualizaciones de seguridad, mientras que otros contienen enlaces
de SharePoint para firmar documentos», explica Juan Alejandro Aguirre, director de
Soluciones de Ingeniería de SonicWall Latinoamérica.

Archivos PDF maliciosos con código QR
Tras escanear el código QR, aparece una URL de phishing en la que el host, en este
caso, es bing.com. «Se trata de una estrategia para evitar detecciones de seguridad»,
explica Aguirre. Desde ahí, el usuario es redirigido a la página de phishing creada por
los delincuentes digitales.
“hxxps://r[.]g[.]bing[.]com/bam/ac?!&&u=a1aHR0cHM6Ly9ocmVmLmxpLz9odHRwczov
L20zYWZzZWN1ci51cy9hdXRoLmh0bWw=#GeXVrYWt1cmVjaGlAbWJrLmNvbQ==”
El enlace de suplantación de identidad abre una página web muy similar a la página de
inicio de sesión oficial de Microsoft.

Captura de pantalla de Fiddler mostrando la URL de phishing redireccionado a partir de
bing.com.
El siguiente paso consiste en pedir a los usuarios que introduzcan las credenciales de
su cuenta de Microsoft, como el ID de usuario y la contraseña. «El objetivo de los
delincuentes es recopilar estas credenciales con fines maliciosos, como el acceso no
autorizado al correo electrónico del usuario, información personal y datos corporativos
sensibles», afirma Aguirre.

Página de phishing de Microsoft con el nombre de usuario rellenado previamente.
Escanear un código QR malicioso puede acarrear una amplia gama de consecuencias
graves; en estos casos, se pide a los usuarios que escaneen el código con un
smartphone.

Captura de pantalla de escaneado de un código QR en un smartphone.
La funcionalidad de escaneado de códigos QR en dispositivos móviles puede
aprovecharse para llevar a cabo acciones sin el consentimiento explícito del usuario.
Esto incluye:

 Descarga e instalación automática de aplicaciones maliciosas.
 Suscripción de los usuarios a servicios de SMS de tarificación adicional, con los
consiguientes gastos inesperados.
 Inicio de llamadas a números de tarificación adicional, con los consiguientes
costos elevados.
 Robo de credenciales.
 Ataques de explotación.
 Compromiso de la red.
 Daños a la reputación.
Protección de SonicWall
«Gracias a la experiencia de nuestros técnicos de SonicWall Capture Labs, pudimos
dar a conocer rápidamente no sólo el exploit creado por los delincuentes, sino también
la solución a esta amenaza», afirma Aguirre. Para que los clientes de SonicWall estén
preparados ante cualquier brecha que pueda producirse debido a este malware, están
disponibles las siguientes firmas:
 MalAgent.A_1998 (Trojan)
 MalAgent.A_1999 (Trojan)
IOCs
68d72745079d00909989c92141255ba530490cd361a26ee1f4083acf35168c45
21bb86d48cf2cfaa3fab305b54b936304a4cdbd60bb84024a3cd8a3eed99abc4
URLs
hxxps://r[.]g[.]bing[.]com/bam/ac?!&&u=a1aHR0cHM6Ly9ocmVmLmxpLz9odHRwczovL
20zYWZzZWN1ci51cy9hdXRoLmh0bWw=#GeXVrYWt1cmVjaGlAbWJrLmNvbQ==
hxxps://geszvihbb[.]cc[.]rs6[.]net/tn[.]jsp?f=001Ditptef7aGWV9JfIQAYkZmCN-
wQcHMy3e4wzwbv3vnsaliwycylagGK80Yt9uHp_YVVukara24hbeA_lURHoJmu1Scc_C
BtL1Gctc_C9mjtpTa4efbpuN0PD2cc1NoggcgogpAVDLdR-
weTmdl8QR4ErgtgM9NX_0e-
GLM1eb4IkOGmV3qUSnw==&c=&ch==&__=/p[.]olds@dummenorange[.]com

hxxps://pub-
8c469686ecb34304864e58edf5ab4597[.]r2[.]dev/gystdn[.]html#YXByaWxAcmVzZXRpd
GxlLmNvb
Acerca de SonicWall Capture Labs
Los investigadores de amenazas de SonicWall Capture Labs recopilan, analizan y clasifican la
información sobre amenazas a través de múltiples vectores en la red de amenazas de
SonicWall Capture, que consta de dispositivos y recursos globales, incluidos más de 1 millón
de sensores de seguridad en casi 215 países y territorios. SonicWall Capture Labs, que fue
pionero en el uso de inteligencia artificial para la investigación y protección frente a amenazas
hace una década, lleva a cabo rigurosas pruebas y evaluaciones con estos datos, establece
una puntuación de reputación para los remitentes y el contenido del correo electrónico e
identifica nuevas amenazas en tiempo real.
Acerca de SonicWall
SonicWall es precursora en ciberseguridad, con más de 30 años de experiencia, y está
reconocida como una empresa líder con un modelo de distribución centrado en los partners.
Con la capacidad de desarrollar, escalar y gestionar la seguridad en entornos en la nube,
híbridos y tradicionales en tiempo real, SonicWall ofrece protección sin fisuras contra los
ciberataques más escurridizos, en infinitos puntos de exposición, para usuarios cada vez más
remotos, móviles y basados en la nube. Con su propio centro de investigación de amenazas,
SonicWall es capaz de ofrecer soluciones de seguridad de forma rápida y rentable, diseñadas
específicamente para dar soporte a cualquier organización -grandes empresas, organismos
gubernamentales o PYMES- en cualquier parte del mundo. Para más información, visite
www.sonicwall.com o síganos en X, LinkedIn, Facebook e Instagram.