Tras la avalancha de mensajes de spam en PDF, llega una nueva variante
muy similar pero que utiliza la extensión .FDF en los archivos
adjuntos. Se trata del mismo perro con diferente collar, ya que en
realidad no utiliza el formato Forms Data Forma (FDF).
El pasado mes de junio dábamos buena cuenta de la popularización del
formato PDF como vía para enviar spam. Este viernes, desde F-Secure,
avisaban de la nueva avalancha de spam FDF que corresponde al formato
Forms Data Format, y que efectivamente está llegando en plan masivo a
los buzones de correo.
Si bien, examinando el interior de uno de esos archivos podemos
comprobar que los spammers lo único que hacen es cambiar la extensión
de .PDF a .FDF, y que el formato real del archivo sigue siendo PDF.
Esta nueva estrategia del cambio de extensión, en su lucha sin final
de burlar a los filtros antispam, aprovecha que la extensión .FDF está
también asociada a Acrobat Reader y los abre automáticamente.
Para interpretar el formato, Acrobat Reader no se deja llevar por la
extensión, sino por la cabecera que aparece en la primera línea del
archivo. El spam que está llegando, en vez de tener la cabecera del
formato Forms Data Format, que sería %FDF-1.2, contiene la cabecera
%PDF-1.5 que indica al lector que debe procesarlo como un archivo PDF.
Capturas de pantalla en: http://blog.hispasec.com/laboratorio/231
Estamos ante una treta más de los spammers que no debería plantear
mayores problemas a las soluciones antiphishing. Es más, dado que la
extensión .FDF no es tan común como .PDF, los administradores de correo
podrían llegar a plantearse introducir un sencillo filtro en los
servidores para impedir la llegada de esta nueva plaga a los buzones
de los usuarios.
bernardo@hispasec.com
Más información:
Se populariza el spam en formato PDF
http://www.hispasec.com/unaaldia/3167
Deja un comentario