Utilizando una aplicación maliciosa que se activa nada más abrirse un documento sencillo, procede automáticamente a enviar a los ciberatacantes información sobre los programas instalados en el dispositivo de la víctima. Estos datos permiten entender qué tipo de vulnerabilidad pueden aprovechar para hackear el dispositivo objetivo.

No importa en qué dispositivo se abra el documento, la técnica de ataque funciona tanto en las versiones para ordenadores como de móviles de un popular programa de procesamiento de textos. Kaspersky Lab ha podido ver este modo de trabajo en al menos un actor de ciberespionaje, al que los analistas de la empresa han bautizado como FreakyShelly.

Hace ya algún tiempo, cuando se investigaban los ataques dirigidos de FreakyShelly, los expertos de Kaspersky Lab detectaron una campaña de correo "spear-phishing" de documentos de formato OLE2 (estos utilizan tecnología de incrustación y enlazado de objetos que ayuda a crear documentos compuestos con información de varias fuentes, incluido Internet).

Un vistazo rápido al archivo no levantaba ninguna sospecha. Incluía todo un conjunto de consejos útiles sobre cómo usar mejor el motor de búsqueda de Google y tampoco se vio que llevara exploits conocidos o macros maliciosas. Sin embargo, analizando con más detalle el comportamiento del documento, se pudo ver que, cuando se abría, el documento por algún motivo enviaba una solicitud GET a una página web externa.

La petición GET incluía información sobre el buscador utilizado en el dispositivo, la versión de sistema operativo, así como datos sobre otros programas instalados en el dispositivo atacado. El problema radicaba en que esta página web no era a la que la aplicación debía enviar la solicitud en realidad.

El análisis de Kaspersky Lab demostró que el ataque funcionaba debido a cómo se procesa y se almacena la información técnica sobre los elementos del documento dentro de él.

Cada documento digital contiene metadatos específicos sobre su estilo, ubicación de texto y fuente, dónde deben extraerse las imágenes del documento (si las hay) y otros parámetros. Una vez abierto, la aplicación leería estos parámetros y luego construirá el documento utilizando una especie de "mapa". Sobre la base de los resultados de la investigación realizada por los analistas de Kaspersky Lab, los cibercriminales pueden cambiar el parámetro responsable de señalar la ubicación de las imágenes utilizadas en el documento a través de sofisticadas manipulaciones de código, y hacer que el documento informe a la página web propiedad.