PDF-fájlokból kell kihámozni ezt a károkozót

Víruskutatók egy olyan trükkre hívták fel a figyelmet, amely PDF-dokumentumokkal történő károkozásokra ad lehetőséget.
 

A vírusírók arra törekszenek, hogy a kártékony kódjaikat minél jobban, minél hosszabb ideig tudják elrejteni a biztonsági szoftverek elől. Ennek érdekben folyamatosan újabb és újabb technikákat dolgoznak ki, amik sajnos nem egyszer be is válnak számukra. Ezekben az esetekben szokott az szerepelni a víruselemzők írásaiban, hogy már több hónapja vagy akár több éve aktív lehet az adott kártékony program, miközben az senkinek és semminek nem szúrt szemet.
 
Rejtett vírusok
 
A vírusterjesztésben is komoly szerep hárul a szteganográfiára, mivel ezzel rejthetővé válhatnak a nemkívánatos kódok. Az EdgeSpot szakemberei pontosan egy ilyen technikát lepleztek le, és egyben gyorsan fel is hívták a figyelmet a kockázatokra.
 
A leleplezett módszer igencsak kifinomult, amit az is jelez, hogy - mint az a vizsgálatok során kiderült - már 2017-ben is szerephez juthatott támadásokban. Az első ilyen jellegű kódot ugyanis ekkor töltötte fel valaki a VirusTotalra. Az igazán elgondolkodtató, hogy az antivírus technológiák azóta sem tudták felvenni vele a küzdelmet: a múlt héten a kódot mindössze egy víruskereső tekintette gyanúsnak.
 
Egy PDF, semmi más
 
A trükk lényegében PDF-es visszaélésekre épül. A vírusterjesztők JavaScript kódokat igyekeznek elrejteni, amelyeket aztán további kódfuttatási célokra használnak fel. A szóban forgó esetben a getIcon() és az iconStreamFromIcon() PDF JS API-k kapnak szerepet, és néhány beágyazott kép. Ezek a PDF-dokumentum megnyitásakor teljesen szokványos módon jelennek meg, semmiféle jele nincs annak, hogy a háttérben ártalmas összetevők duruzsolnának. Pedig sajnos ez a helyzet, mivel a dokumentum megnyitásakor a rejtett kódok az eval() függvény segítségével szépen sorban lefutnak. Egyben pedig különféle PDF-es sérülékenységek kihasználására is sor kerül.
 
A vizsgálatok szerint a módszer kidolgozói nem a nulláról kezdték a fejlesztéseket, mivel kihasználták a nyílt forráskódú, steganography.js projekt adta lehetőségeket is. Ezt a kódot módosították úgy, hogy az ne csak webböngészőkben legyen működőképes, hanem PDF-dokumentumokban is felhasználhatóvá váljon.
 
Az EdgeSpot szakértői arra kérték a víruskeresőket fejlesztő cégeket, hogy fordítsanak nagyobb figyelmet e jelenségre, és tegyék meg a szükséges lépéseket a detektálási hatékonyság növelése érdekében.