Press Release: O uso de PDFs como arma de ataque: 68% dos ciberataques começam em e-mails, e 22% estão escondidos em PDFs.
Numa altura em que 68% dos ataques maliciosos chegam via e-mail, os ataques baseados em PDF já representam 22% de todos os anexos maliciosos.
A equipa de investigadores da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pioneira e líder mundial em soluções de cibersegurança, identificou que o uso de ataques baseados em PDF tem vindo a aumentar, e que os mesmos já representam 22% de todos os anexos maliciosos propagados via e-mail.
Esta informação é particularmente importante se tivermos em conta que mais de 87% das organizações utilizam o PDF como o formato padrão de comunicação empresarial, o que contribuiu para os mais de 400 mil milhões de ficheiros PDF abertos no último ano, e 16 mil milhões de documentos editados no Adobe Acrobat.
Os PDFs maliciosos há muito que são uma porta de entrada preferida pelos cibercriminosos, mas o seu uso tem vindo a aumentar. Enquanto 68% dos ataques maliciosos chegam via e-mail, os ataques baseados em PDF representam já 22% de todos os anexos maliciosos, segundo a Check Point Research. Isto torna-os especialmente perigosos para empresas que partilham grandes quantidades destes ficheiros nas suas operações diárias.
Os cibercriminosos têm vindo a recorrer a técnicas sofisticadas para contornar sistemas de deteção das soluções de segurança, tornando estes ataques cada vez mais difíceis de identificar — e de os parar. A Check Point Research (CPR) monitorizou grandes quantidades de campanhas maliciosas que passaram despercebidas pelas soluções de segurança tradicionais, sem qualquer deteção registada no VirusTotal ao longo do último ano.
Porque é que os PDFs são um alvo tão apelativo para os cibercriminosos
Os PDFs são ficheiros bastante complexos. A especificação PDF, ISO 32000, tem quase 1.000 páginas e inclui inúmeras funcionalidades que podem ser exploradas para evasão. Essa complexidade abre caminho a diversos vetores de ataque que muitas soluções de segurança não conseguem detetar eficazmente.
Em muitos aspetos, os PDFs funcionam como testes CAPTCHA — fáceis para humanos, difíceis para sistemas automatizados. Esta combinação de simplicidade para o utilizador e complexidade para os sistemas de segurança é precisamente o que os torna tão atrativos para os atacantes.
Nos últimos anos, os PDFs maliciosos tornaram-se mais sofisticados. Antigamente, os cibercriminosos exploravam vulnerabilidades conhecidas (CVEs) nos leitores de PDF. No entanto, com os leitores mais atualizados — especialmente os browsers que agora abrem PDFs por defeito —, esta abordagem tornou-se menos eficaz para ataques em larga escala.
Os ataques com JavaScript embutido, embora ainda comuns, são cada vez menos frequentes. Estes são considerados “ruidosos” e mais fáceis de detetar. A CPR descobriu que muitos dos “explóits” baseados em JavaScript eram pouco fiáveis entre diferentes leitores, e muitas soluções de segurança já os detetam.
Como tal, os atacantes mudaram de tática. Em vez de explorarem falhas técnicas, estão agora a apostar fortemente em engenharia social. Os PDFs são amplamente considerados ficheiros seguros e fiáveis, o que os torna perfeitos para ataques de phishing. Estes ficheiros podem conter links perigosos, código malicioso ou outros conteúdos prejudiciais, disfarçados de documentos legítimos — com maior probabilidade de enganar o utilizador e de passar pelos filtros de segurança tradicionais.
Anatomia de uma Campanha de Ataque com PDF
Uma das técnicas mais comuns observadas pela CPR são as campanhas baseadas em links. Nestes casos, o PDF contém um link para um site de phishing ou para descarregamento de ficheiros maliciosos. Esse link vem frequentemente acompanhado de uma imagem ou texto com o objetivo de convencer o utilizador a clicar.
Estas imagens costumam imitar marcas reconhecidas — como Amazon, DocuSign ou Acrobat Reader —, dando ao documento um aspeto inofensivo. Como o atacante controla todos os elementos (link, texto e imagem), é fácil alterar rapidamente qualquer parte, tornando estas campanhas difíceis de detetar com ferramentas baseadas em reputação ou assinaturas estáticas.
Embora envolvam interação humana, isso é uma vantagem para os atacantes, já que as sandboxes e os sistemas automatizados têm dificuldade em lidar com decisões humanas.
Técnicas de Evasão Usadas por Cibercriminosos
Os atacantes estão constantemente a adaptar-se para evitar a deteção. Estas técnicas revelam um profundo conhecimento das ferramentas de segurança e são muitas vezes desenhadas para contornar soluções específicas.
Técnicas de Evasão de URLs
A forma mais óbvia de identificar que um PDF possa ser malicioso é através da verificação da hiperligação que contém.
Para evitar a deteção, os agentes de ameaças utilizam uma série de técnicas de evasão de URL, tais como:
- Redirecionamentos benignos: Os atacantes utilizam serviços como Bing, LinkedIn ou Google AMP para ocultar o destino final, aproveitando o facto de estes domínios estarem muitas vezes em listas brancas.
- QR codes: Incorporam códigos QR no PDF, encorajando o utilizador a usar o telemóvel, o que contorna os scanners de URLs tradicionais.
- Chamadas telefónicas: Alguns ataques incentivam o utilizador a ligar para um número, eliminando a necessidade de link, embora seja exigido um maior envolvimento humano.
Evasão à Análise Estática
A complexidade da estrutura de um ficheiro PDF obriga a que muitas ferramentas de segurança utilizem o princípio de análise estática para identificar conteúdos maliciosos nos mesmos. Tal processo obriga os atacantes a ofuscarem o conteúdo do ficheiro, dificultando essa mesma análise.
Estes utilizam anotações e objetos indiretos codificados de forma pouco comum, e aproveitam diferenças na forma como os leitores de PDF interpretam estas estruturas, fazendo com que o conteúdo malicioso passe despercebido.
Obscurecimento de Ficheiros
Usam técnicas como encriptação, filtros e estruturações complexas para esconder as intenções reais. Muitos leitores de PDF priorizam a capacidade de abrir ficheiros que aparentem estar corrompidos ou suspeitos, o que permite que documentos perigosos sejam abertos sem gerar alertas.
Evasão a Sistemas de Machine Learning
À medida que as ferramentas de segurança vão estando cada vez mais dependentes de sistemas de Machine Learning (ML), os atacantes têm procurado maneiras de iludir esses sistemas. A solução mais utilizada é a aplicação de texto em imagens, o que obriga os sistemas de segurança a usar OCR (Reconhecimento Óptico de Caracteres), o que introduz erros e atrasos.
Outra solução utilizada passa pela aplicação de texto invisível ou minúsculo, como forma de enganar modelos de Processamento de Linguagem Natural. (NLP), dificultando assim a compreensão do conteúdo real do documento.
Como Proteger-se de Ataques Baseados em PDF
As soluções Check Point Threat Emulation e Harmony Endpoint oferecem uma proteção avançada contra diferentes vetores de ataque, ficheiros e sistemas operativos, incluindo estes que já foram aqui referidos.
Mas existem boas práticas essenciais que todos devem seguir para reduzir o risco:
- Verificar sempre o remetente: Mesmo que o PDF pareça legítimo, confirma o endereço de e-mail. Os atacantes muitas vezes falsificam domínios de marcas conhecidas.
- Desconfiar de anexos inesperados: Se não estavas à espera de um PDF — especialmente se pede para clicares num link, digitalizares um QR code ou fazeres uma chamada — assume que pode ser malicioso.
- Passar o rato sobre os links antes de clicar: Verifica o URL completo. Links encurtados ou redirecionamentos (Bing, AMP, LinkedIn) devem levantar suspeitas.
- Usar um leitor de PDF seguro e atualizado: Evita abrir PDFs em software desatualizado ou desconhecido.
- Desativar JavaScript no leitor de PDF: Se o teu leitor permite JavaScript, desativa-o a não ser que seja absolutamente necessário.
- Manter sistemas e software de segurança atualizados: Atualizações corrigem vulnerabilidades exploradas por PDFs maliciosos.
- Confiar no instinto: Se algo parecer demasiado bom para ser verdade, tiver erros estranhos ou pedir credenciais… provavelmente é uma armadilha.
Se tiver alguma questão adicional, não hesite em contactar.
Para mais informações clica aqui.
