Millones en peligro debido a la inundación de archivos PDF maliciosos en los buzones de SMS, preparados para robar tus datos.

Un reciente estudio ha revelado que una nueva campaña de phishing está afectando a empresas y particulares en más de 50 países. Los expertos advierten que los atacantes están utilizando una técnica innovadora de ofuscación para ocultar enlaces maliciosos en archivos PDF, que históricamente han sido considerados seguros y confiables para compartir documentos.

La investigación de zLabs, parte de Zimperium, indica que este tipo de amenaza implica la entrega de PDFs maliciosos a través de mensajes SMS, donde los remitentes se hacen pasar por el Servicio Postal de los Estados Unidos (USPS). Mediante técnicas avanzadas, los atacantes ocultan enlaces maliciosos en estos archivos, aprovechando la confianza que los usuarios tienen en este formato para robar información sensible.

Según los informes, esta campaña está dirigida tanto a organizaciones como a individuos, con más de 20 archivos PDF peligrosos y 630 páginas de phishing identificadas hasta ahora. Los ataques se inician cuando la víctima hace clic en el enlace oculto en el PDF, que generalmente solicita información personal, como nombres, direcciones y detalles de tarjetas de crédito.

Los dispositivos móviles son considerados especialmente vulnerables ante este tipo de ataques, ya que en pantallas más pequeñas los usuarios tienen una visibilidad limitada del contenido del archivo antes de abrirlo. Además, los enlaces maliciosos en estos PDFs son más difíciles de detectar, debido a que los atacantes no emplean la etiqueta estándar /URI para incrustar enlaces, lo que les permite evadir la detección por parte de software de seguridad tradicional.

Nico Chiaraviglio, Científico Jefe de zLabs en Zimperium, comentó que, aunque USPS no está involucrado, los ciberdelincuentes aprovechan el nombre de esta institución para engañar y atrapar a los usuarios. Esta campaña pone de manifiesto la creciente sofisticación y el aumento continuo de los ataques "mishing", resaltando la necesidad de medidas de seguridad proactivas para dispositivos móviles.

Para protegerse de este tipo de ataques, es fundamental verificar los detalles del remitente y los metadatos de cualquier archivo adjunto antes de abrirlo. Además, se recomienda evitar hacer clic en enlaces incrustados en PDFs o mensajes SMS; en su lugar, es mejor acceder directamente al sitio web oficial o utilizar la aplicación móvil de la organización. También es aconsejable utilizar un buen software antivirus para Android o iPhone para mantenerse protegido contra malware en dispositivos móviles.