PAZITE SE PDF-OVA! Zašto sajber kriminalci sve češće koriste ovu vrstu fajlova i kako da se zaštitite?

Tech - 04.03.2024. 21:01h

PDF-ovi su postali sinonim za praktičnost i pouzdanost, bilo da se koriste na poslu, u školi ili za ličnu upotrebu, a njihova upotrebljivost na različitim platformama učinila ih je nezamenljivim. Međutim, oni su i rastuća pretnja koju mnogi zanemaruju.

Avastovi istraživači kažu da sajber kriminalci sve više koriste PDF-ove za distribuciju malvera i vršenje prevara.

Široka upotreba PDF-ova i poverenje koji korisnici imaju u ovaj format, čine PDF fajlove idealnim pokrićem za zlonamerne aktivnosti. Napadači iskorišćavaju poverenje korisnika znajući da je veća verovatnoća da će otvoriti PDF bez zadrške.

I bezbednosni sistemi e-pošte propuštaju PDF priloge, stvarajući lažni osećaj sigurnosti kod korisnika, koji zbog toga ne dovode u pitanje legitimnost PDF priloga, posebno kada se čini da dolaze iz pouzdanih izvora.

Hakerski Napad, Sajber Napad, Hakeri — foto: Reuters

Ako se tome doda društveni inženjering, koji sajber kriminalci koriste da bi prevarili ljude da odaju poverljive informacije ili da urade nešto što će ugroziti njihovu bezbednost, napad PDF-om postaje alarmantno efikasna taktika napada koji se oslanja na poverenje, strah i hitnost.

U jednom slučaju su, na primer, istraživači Avasta otkrili PDF obaveštenje o grešci u naplati pretplate za Netflix, koje podstiče žrtve da daju svoje informacije o plaćanju.

Iako su i ovakve prevare dovoljno zabrinjavajuće, ugrađivanje sofisticiranih malvera u PDF-ove je još gore. Malveri poput AgentTesla, DarkGate i RemcosRat mogu na taj način da se infiltriraju u sisteme i da ukradu osetljive informacije, nadgledaju radnje korisnika, pa čak i preuzmu potpunu kontrolu nad inficiranim uređajima.

PDF STRUCTURA:

PDF se sastoji od 4 glavna odeljka: Zaglavlje, Telo, Ksref tabela i Trejler.

Header

Jednostavan odeljak koji navodi format PDF datoteke i broj verzije, u našem slučaju 1.7 (znak „%“ u PDF-u označava komentar)

Telo

Telo PDF-a sadrži sve objekte koji predstavljaju izgled dokumenta, uključujući slike, fontove, stranice, skriptni kod i još mnogo toga.

Tabela unakrsnih referenci (Xref)

Baš kao što ime sugeriše, ovo je tabela unakrsnih referenci – struktura podataka koja sadrži reference (odstupanja) na objekte (slike, itd.) unutar datoteke, omogućavajući PDF čitaču da pronađe bilo koji objekat u bilo kom trenutku bez potrebe da učitate ceo dokument u memoriju i brzo se krećete između stranica.

Trejler

PDF čitač će prvo pogledati trejler jer sadrži potrebne informacije za raščlanjivanje cele datoteke. Najvažniji ključevi su pomak prema tabeli unakrsnog referenciranja, broj objekata u datoteci i referenca na kataloški (osnovni) objekat. Objekat kataloga je prvi objekat u hijerarhiji tela i definiše kako se dokument prikazuje (izgled stranice), kako su objekti ocrtani i kako se prikazuje sadržaj.

Uobičajeni vektori napada Slično MS Office dokumentima, PDF datoteke su u širokoj upotrebi već dugi niz godina. Uz svoju popularnost i zbog činjenice da se radi o višeplatformskom formatu, PDF datoteke su veoma privlačne za aktere pretnji i koriste se kao početna tačka zaraze za žrtve.

Od jednostavnog phishing napada do sofisticiranog eksploatacije, PDF može biti naoružan na mnogo načina.

PHISHING ("Pecanje")

Kada je PDF postao popularan format dokumenta, sajber kriminalci su prepoznali priliku da koriste tehnike društvenog inženjeringa za isporuku phishing PDF-ova.

Kao i kod Office dokumenata, prilozi e-pošte postali su primarni način distribucije.

Pdf, Haker, Sajber Napad — foto: Shutterstock

Druge vrste dokumenata, kao što su Office datoteke, godinama su stekle lošu reputaciju jer su se naširoko iskorišćavale korišćenjem različitih ranjivosti i makroa. PDF-ovi su istorijski smatrani bezbednijim formatom i razvili su reputaciju manje opasnih zbog manje objavljenih povreda i stvarnih pretnji koje se vide u divljini.

PDF-ovi za „pecanje“ obično sadrže vezu do spoljne URL adrese koja je dizajnirana da prosledi korisnika na jedno od ovih:

„Pecanje“ – (može biti lažno bankarstvo, sajt za upoznavanje ili druga stranica za e-trgovinu) koja podstiče žrtve da unesu svoje lične podatke koji se šalju napadaču.
Sistemi za usmeravanje saobraćaja (TDS) – ovi sistemi su veb-bazirani gejtvej dizajnirani da analiziraju mašinu korisnika kako bi prikupili sistemske podatke kao što su OS, geo-lokacija, jezik i još mnogo toga. Koristeći TDS, napadač može da preusmeri žrtvu na različite reklamne veb stranice ili čak na stranicu za infekciju malverom.
Web-sajt za infekciju zlonamernim softverom – ovi sajtovi obično sadrže kod koji preuzima zlonamernu datoteku na mašinu žrtve.

Ove metode su prilično jednostavne i ne zahtevaju veoma sofisticirani napadač da ih sprovede.

Uobičajeni trend poslednjih godina – captcha slika sa ugrađenim URL-om koja preusmerava žrtvu na veb lokaciju za krađu identiteta ili neželjenu reklamu.

AKCIJE I JAVASCRIPT

Većina korisnika PDF-a je svesna i koristi mogućnosti za uređivanje PDF-a. U stvari, za mnoge, ovo može biti stepen u kojem koriste PDF-ove. Ali postoji i funkcija pod nazivom „Radnje“ koja se može koristiti za obavljanje raznih zadataka, uključujući sledeće:

Otvorite veb vezu
Otvorite datoteku
Pokrenite JavaScript kod
Pošaljite obrazac
… i druge radnje

Ove radnje pokreću „Događaji“. Uobičajeni primeri takvih „događaja“ mogu uključivati čuvanje ili zatvaranje PDF-a, klikanje mišem i tako dalje. Korisnik može da kreira dokument koji će, kada se zatvori, otvoriti veb stranicu sa određenom lokacijom.

Neke od radnji i okidača (triggers) koji se mogu kreirati pomoću Adobe Acrobat-a:

SubmitForm – ova radnja omogućava slanje informacija putem interaktivnog šablona obrasca na unapred definisanu udaljenu lokaciju, koristeći AcroForms ili noviju KSML Forms Architecture (KSFA)[ii] kompanije Adobe.
JavaScript – ako ga PDF čitač u potpunosti podržava, JavaScript se može koristiti za pristup i manipulisanje bilo kojim delom dokumenta. Takođe je korišćen za iskorišćavanje različitih ranjivosti PDF čitača.
URL – žrtve se mogu prevariti različitim metodama društvenog inženjeringa da prate ugrađene URL adrese u pokušaju da odbace malver, počine phishing ili jednostavno nateraju žrtve da posećuju sajtove sa neželjenim oglasima.

Adobe, Adobe Acrobat reader — foto: Shutterstock

Ova vrsta običnog napada, kao i kod phishing prevara koje smo ranije videli, može uticati na većinu čitača PDF-a i pretraživača. Ovi napadi se po dizajnu oslanjaju na ugrađene funkcije čitača i uvek će funkcionisati, ako to korisnici dozvole, za razliku od iskorišćavanja ranjivosti pronađenih u PDF čitačima.

Radnja koja imitira Amazon obrazac i zlonamerni kod iza njega.

Pored phishing-a, JavaScript se može koristiti za slanje informacija o popunjenim obrascima, kao i za obavljanje moćnih radnji kao što je izdavanje PoverShell komandi ili ispuštanje zlonamerne datoteke.

Primeri iskačućih poruka koje upozoravaju korisnika na skriveni JavaScript sadržaj.

JavaScript se može koristiti za eksfiltriranje podataka i/ili pokretanje zlonamernog koda na mašini korisnika, ali je takođe dovoljno moćan da iskoristi potencijalne ranjivosti koje se nalaze u PDF čitačima.

Kako se zaštititi od napada u kojima se koristi PDF?

Najbolja odbrana od sajber pretnji je kombinacija znanja i opreza. Evo nekoliko saveta istraživača Avasta:

Edukujte se o taktikama koje koriste sajber kriminalci da biste bili korak ispred njih
Budite oprezni sa sumnjivim PDF-ovima
Uvek proverite poreklo dokumenta pre nego što ga otvorite, posebno ako se traže lični ili finansijski podaci
Tretirajte sajber bezbednost kao kontinuiranu praksu, a ne samo kao jednokratnu meru