Ojo al spam en formato FDF (Adobe Acrobat Reader)

Spam en formato FDF de Adobe Acrobat Reader…

El spam en ficheros FDF: es evidente que hoy día los spammers se las ingenian para intentar burlar nuestros sistemas de seguridad y ciertos usuarios suelen caer en la tentación de habrir este tipo de ficheros con extensión FDF (Forms Data Format). Los ficheros con esta extensión son reconocidos y abiertos por la aplicación Adobe Acrobat Reader y aunque suelen tener publicidad, puede que en algún otro momento sean utilizados con fines diferentes, aprovechando cualquier agujero de seguridad que pueda contener dicha aplicación. Desde F-Secure ya estaban avisando de esta nueva avalancha de spam FDF.

El Acrobat Reader no se deja llevar por la extensión de los ficheros para reconocerlos, sino por la cabecera de los mismos, es decir, la primera línea del archivo.

El spam que está llegando, en vez de tener la cabecera del formato Forms Data Format, que sería %FDF-1.2, contiene la cabecera %PDF-1.5 que indica al lector que debe procesarlo como un archivo PDF.Estamos ante una treta más de los spammers que no debería plantear mayores problemas a las soluciones antiphishing. Es más, dado que la extensión .FDF no es tan común como .PDF, los administradores de correo podrían llegar a plantearse introducir un sencillo filtro en los servidores para impedir la llegada de esta nueva plaga a los buzones de los usuarios.

Puedes leer también la página 671 del libro PDF Reference donde concretamente se habla sobre la cabecera de los archivos FDF.