Entre vários outros arquivos, Os PDFs são considerados um dos mais convenientes para usar em documentos somente leitura. Eles impedem a edição do conteúdo, ainda manter a capacidade de transportar conteúdo interativo. Mas é totalmente seguro? Um PDF pode conter vírus? Vamos descobrir.
Antecedentes do vírus PDF
Primeiras coisas primeiro, então vamos ver as definições – só para ter certeza de que temos as mesmas coisas. Sob vírus PDF, as pessoas geralmente se referem a qualquer tipo de carga maliciosa incorporada em um arquivo PDF. Vírus como tipo de malware foram um dos mais massivos em meados-00é, o que tornou seu nome um substantivo comum para qualquer malware. Em anos que virão, vírus foram expulsos de uma cena com malware mais avançado e autossuficiente. Spyware, ladrões, malware conta-gotas, e às vezes até ransomware – isso é o que se espera de PDFs infectados.
Usando arquivos legítimos como portadores de coisas maliciosas é mais comum para a continuação da infecção do que para o acesso inicial. Hackers tendem a usar PDF (junto com imagens JPEG e PNG) como disfarce para um pacote de dados necessário para enviar novas orientações ao malware. Para usuários, o arquivo parecerá algo legítimo ou sem sentido que eles obtiveram por engano. Ainda, nada impede que hackers usem arquivos PDF para espalhar vírus diretamente. Vamos verificar as principais causas de tal ocasião.
Vírus PDF: Detalhes técnicos
Eu indiquei que PDFs podem ser usados para distribuição de malware. No entanto, eles diferem de, dizer, Documentos do MS Office armados com macros infectadas. As principais superfícies de ataque em documentos PDF estão relacionadas a miniaplicativos JavaScript e aplicativos de leitura. Embora JS seja uma história bastante clássica, leitores vulneráveis são menos comuns. Nos dias de hoje, as pessoas tendem a usar navegadores da web como leitores de PDF – e o sistema operacional usa esta configuração por padrão. No entanto, alguns usuários preferem aplicativos independentes, que recebem menos atualizações, e pode conter vulnerabilidades de segurança.
JScript
JavaScript, ou JScript/JS para abreviar, é uma linguagem de programação de script usada massivamente em aplicações web e (obviamente) script. Geralmente é usado em ataques cibernéticos como forma de vazar informações sobre os usuários ou redirecioná-los para outra página. Mas ter coisas que residem na memória do computador, é possível preparar uma guloseima completamente diferente.
Hackers incorporam um script JS malicioso no arquivo PDF. Por projeto, JS pode ser anexado a arquivos PDF para tornar seu conteúdo dinâmico. Isso pode ser usado quando esses documentos exibem as instruções atuais, mas este último depende do dia da semana ou de outras circunstâncias. No entanto, uma instância maliciosa do miniaplicativo JavaScript será executada assim que você abrir o arquivo. Se houver nenhum software antimalware rodando em seu sistema, o script será executado perfeitamente e baixará tudo o que o hacker pediu.
Vulnerabilidades no aplicativo leitor
Leitores de PDF, como eu mencionei antes, são usados com menos frequência hoje em dia. Isso realmente funciona contra eles - vendo menos popularidade, os desenvolvedores tendem a gastar menos tempo e esforço em torná-los melhores. E eles têm coisas suficientes para mudar, à medida que com o tempo, mais e mais vulnerabilidades são descobertas.
O conteúdo necessário para desencadear a exploração e dar aos hackers o que eles precisam é normalmente incorporado nos elementos editáveis do documento. Eles exigem que seu dispositivo execute o código que exibe as informações correspondentes. Normalmente, o código executado no documento deve permanecer no ambiente de execução específico, chamado de caixa de areia. Ignorando isso, no entanto, não é grande coisa, e os hackers estão sempre prontos para fazer esse truque e começar a agir em um sistema ativo. Na verdade, a própria essência da exploração é bastante semelhante ao caso do JScript: uma parte que armazena o conteúdo ativo recebe um preenchimento malicioso.
Links maliciosos no texto
O mesmo que as duas coisas anteriores, links maliciosos também estão relacionados ao conteúdo ativo. No entanto, em vez de depender da execução de código, links tentam enganar a vítima para que compartilhe dados confidenciais. É um classic example of phishing - mas incorporado em um arquivo PDF em vez de uma mensagem de e-mail. O principal problema (para hackers) aqui está o fato de que não funciona automaticamente – a vítima deve clicar no link para executá-lo. Embora depois de abrir o link, provavelmente verá a malicious copy of a login page de um site relacionado ao tópico PDF.
Riscos de vírus PDF
Os riscos relacionados aos vírus PDF dependem principalmente do que exatamente está acontecendo. Quando um JScript malicioso é executado, provavelmente entra em contato com o servidor de comando para recuperar a carga – ou seja. atuar como um downloader. Como resultado, qualquer tipo de programa malicioso é possível. No entanto, os tipos mais comuns de malware, nesse caso, são spyware or stealers. Ransomware, malware vândalo, APTs e outras coisas são possíveis embora, mas não há casos documentados dessas ameaças sendo espalhadas dessa forma.
Vulnerabilidades no leitor podem ser usadas para implantar a carga inicial e aumentar a existente. O mesmo que com miniaplicativos JScript, eles podem ser a fonte de qualquer malware – tudo depende da escolha dos hackers. Quando se trata de aumentar a carga útil já em execução, tudo depende muito do tipo de exploração usada. Violações de escalonamento de privilégios podem ser usadas para executar malware; vulnerabilidades arbitrárias de execução de código podem iniciar a conexão com um servidor de comando para obter instruções adicionais.
As ameaças de phishing têm menos probabilidade de estar relacionadas à infecção por malware. A coisa principal most phishing operations aim at são as informações pessoais da vítima. O mencionado link malicioso tentará se parecer com um site que você conhece, e provavelmente solicitará que você digite credenciais de login ou certas informações sobre você. Os motivos para seguir as instruções serão mencionados no corpo do PDF.
Como evitar arquivos PDF infectados?
Preventivo, e a maneira mais eficaz de evitar arquivos PDF maliciosos é evitar interagir com coisas questionáveis. É improvável que PDFs que contenham vírus apareçam em sites oficiais, e-mails genuínos, e coisas assim. E-mails estranhos enviados por um estranho e não por uma empresa, que solicitam que você abra o arquivo anexado ou um link para um site de terceiros – é isso que você deve procurar e evitar. Tanto para pessoas físicas quanto para empresas, estar ciente de quais ataques esperar é essencial.
Obviamente, pode não ser uma tarefa fácil quando você tem que lidar com dezenas e centenas de e-mails cada dia. Esse caso requer uma contra-ação de outro tipo – reativa. Se você não conseguir impedir que um arquivo malicioso chegue ao seu sistema, então é vital poder parar um quando ele aparecer. Existem vários tipos de soluções de software adequadas a esse caso.
Desarme e reconstrução de conteúdo (ou CDR) se adequará a organizações que possuem redes extensas. Soluções CDR controlam os arquivos lançados e extirpar o conteúdo ativo que pode ser malicioso. Eles podem aplicar isso cegamente a todos os arquivos, bem como ter um sistema de detecção que distingue o bem do mal.
O software antimalware é uma solução mais abrangente que pode detectar e impedir com eficácia a execução de código malicioso. PDF, no entanto, é um pouco problemático, já que alguns softwares antivírus o consideram seguro e o ignoram completamente. GridinSoft Anti-Malware é uma história diferente – oferece uma taxa de proteção superior contra qualquer tipo de ameaça – até mesmo coisas astutas como um vírus PDF.
