Foto: CHECK POINT

Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pionero y líder global en soluciones de ciberseguridad, destaca cómo PDFguard, un motor de inteligencia artificial de última generación, frena la creciente amenaza de archivos PDF maliciosos. En pruebas recientes, ha logrado identificar un 25% más de archivos maliciosos que versiones anteriores, muchos de ellos completamente inéditos.

Los PDFs son parte esencial de la comunicación empresarial diaria y, en general, son percibidos como un formato seguro y fiable. Sin embargo, este exceso de confianza ha facilitado que el 68% de los ciberataques en 2024 se distribuyeran por correo electrónico, y un 22% de estos incluyeran PDFs como archivo adjunto, según datos de Check Point Research.

Gracias a su estructura compleja, los PDFs permiten ocultar enlaces maliciosos, código dañino o contenido peligroso. Los atacantes aprovechan la familiaridad de los usuarios con este tipo de documento y emplean técnicas de ingeniería social para aumentar las probabilidades de éxito de sus ataques. Estos PDFs no solo se usan en campañas de phishing, sino también como parte de cadenas de ataque en varias fases que pueden culminar en infecciones de ransomware u otras amenazas críticas.

PDFguard utiliza un enfoque multinivel impulsado por inteligencia artificial para detectar indicadores de comportamiento malicioso en archivos PDF. Entre sus capacidades destacan:

• Procesamiento de lenguaje natural (NLP): identifica lenguaje engañoso propio de técnicas de ingeniería social que incitan al usuario a hacer clic en enlaces maliciosos o descargar contenido peligroso.
• Análisis de imágenes y estructura: examina la estructura interna del PDF en busca de anomalías o amenazas ocultas.
• Detección de amenazas en dominios cruzados: inspecciona URLs y códigos QR incrustados para identificar redirecciones maliciosas.
• Análisis dinámico: ejecuta el PDF en un entorno sandbox para observar su comportamiento en tiempo real, como descargas no autorizadas o activación de scripts.

En un incidente reciente, PDFguard ha bloqueado con éxito una cadena de ataque que utilizaba un archivo PDF para distribuir el troyano de acceso remoto Remcos (RAT). El archivo mostraba una imagen borrosa con un botón de descarga, simulando un pedido pendiente para engañar al usuario. Al hacer clic, el enlace redirigía a una URL externa que descargaba un archivo comprimido en formato 7zip, conteniendo un script VB que actuaba como dropper para la infección del RAT.

Gracias a su análisis dinámico, PDFguard ha logrado bloquear este ataque al detectar los siguientes comportamientos:

• Ingeniería social visual: contenido borroso que simula facturas o pedidos legítimos.
• Branding engañoso: uso de iconos de PDF y logotipos de Adobe para reforzar la apariencia de autenticidad.
• Detección en dominios cruzados: URL maliciosa señalada como dominio C&C por el motor de IA de Check Point ThreatCloud URLX.

Cada archivo PDF malicioso que se detecta va acompañado de un informe detallado de emulación de amenazas, que proporciona un análisis completo del ataque. Este informe incluye insights generados por el motor de inteligencia artificial de PDFguard, una matriz MITRE ATT&CK que destaca las tácticas y técnicas utilizadas, evidencias visuales como vídeos y capturas del ataque, así como un análisis forense avanzado que muestra la cronología de los eventos observados durante el proceso de emulación.

“En un panorama de ciberamenazas en constante evolución, donde se explotan formatos de uso cotidiano como los PDFs, es esencial contar con soluciones avanzadas como PDFguard”, explica Eusebio Nieva, director técnico de Check Point Software para España y Portugal. “Esta herramienta supone un avance significativo en la detección y prevención de malware en archivos PDF, anticipándose a vectores de ataque cada vez más sofisticados”.