SPAM: del PDF al FDF

Tras la avalancha de mensajes de spam en PDF, llega una nueva variante muy similar pero que utiliza la extensión .FDF en los archivos adjuntos.

Se trata del mismo perro con diferente collar, ya que en realidad no utiliza el formato Forms Data Forma (FDF).

El pasado mes de junio dábamos buena cuenta de la popularización del formato PDF como vía para enviar spam. Este viernes, desde F-Secure, avisaban de la nueva avalancha de spam FDF que corresponde al formato Forms Data Format, y que efectivamente está llegando en plan masivo a los buzones de correo.

Si bien, examinando el interior de uno de esos archivos podemos comprobar que los spammers lo único que hacen es cambiar la extensión de .PDF a .FDF, y que el formato real del archivo sigue siendo PDF.

Esta nueva estrategia del cambio de extensión, en su lucha sin final de burlar a los filtros antispam, aprovecha que la extensión .FDF está también asociada a Acrobat Reader y los abre automáticamente.

Para interpretar el formato, Acrobat Reader no se deja llevar por la extensión, sino por la cabecera que aparece en la primera línea del archivo. El spam que está llegando, en vez de tener la cabecera del formato Forms Data Format, que sería %FDF-1.2, contiene la cabecera %PDF-1.5 que indica al lector que debe procesarlo como un archivo PDF.

Estamos ante una treta más de los spammers que no debería plantear mayores problemas a las soluciones antiphishing. Es más, dado que la extensión .FDF no es tan común como .PDF, los administradores de correo podrían llegar a plantearse introducir un sencillo filtro en los servidores para impedir la llegada de esta nueva plaga a los buzones de los usuarios.

Capturas de pantalla en http://blog.hispasec.com/laboratorio/231