PDF-fájlokból kell kihámozni ezt a károkozót
Víruskutatók egy olyan trükkre hívták fel a figyelmet, amely PDF-dokumentumokkal történő károkozásokra ad lehetőséget.A vírusírók arra törekszenek, hogy a kártékony kódjaikat minél jobban, minél hosszabb ideig tudják elrejteni a biztonsági szoftverek elől. Ennek érdekben folyamatosan újabb és újabb technikákat dolgoznak ki, amik sajnos nem egyszer be is válnak számukra. Ezekben az esetekben szokott az szerepelni a víruselemzők írásaiban, hogy már több hónapja vagy akár több éve aktív lehet az adott kártékony program, miközben az senkinek és semminek nem szúrt szemet.
Rejtett vírusok
A vírusterjesztésben is komoly szerep hárul a szteganográfiára, mivel ezzel rejthetővé válhatnak a nemkívánatos kódok. Az EdgeSpot szakemberei pontosan egy ilyen technikát lepleztek le, és egyben gyorsan fel is hívták a figyelmet a kockázatokra.
A leleplezett módszer igencsak kifinomult, amit az is jelez, hogy - mint az a vizsgálatok során kiderült - már 2017-ben is szerephez juthatott támadásokban. Az első ilyen jellegű kódot ugyanis ekkor töltötte fel valaki a VirusTotalra. Az igazán elgondolkodtató, hogy az antivírus technológiák azóta sem tudták felvenni vele a küzdelmet: a múlt héten a kódot mindössze egy víruskereső tekintette gyanúsnak.
Egy PDF, semmi más
A trükk lényegében PDF-es visszaélésekre épül. A vírusterjesztők JavaScript kódokat igyekeznek elrejteni, amelyeket aztán további kódfuttatási célokra használnak fel. A szóban forgó esetben a getIcon() és az iconStreamFromIcon() PDF JS API-k kapnak szerepet, és néhány beágyazott kép. Ezek a PDF-dokumentum megnyitásakor teljesen szokványos módon jelennek meg, semmiféle jele nincs annak, hogy a háttérben ártalmas összetevők duruzsolnának. Pedig sajnos ez a helyzet, mivel a dokumentum megnyitásakor a rejtett kódok az eval() függvény segítségével szépen sorban lefutnak. Egyben pedig különféle PDF-es sérülékenységek kihasználására is sor kerül.
A vizsgálatok szerint a módszer kidolgozói nem a nulláról kezdték a fejlesztéseket, mivel kihasználták a nyílt forráskódú, steganography.js projekt adta lehetőségeket is. Ezt a kódot módosították úgy, hogy az ne csak webböngészőkben legyen működőképes, hanem PDF-dokumentumokban is felhasználhatóvá váljon.
Az EdgeSpot szakértői arra kérték a víruskeresőket fejlesztő cégeket, hogy fordítsanak nagyobb figyelmet e jelenségre, és tegyék meg a szükséges lépéseket a detektálási hatékonyság növelése érdekében.
-
A GLPI fejlesztői két veszélyes biztonsági résről számoltak be.
-
Öt biztonsági rést foltoztak be a GitLab fejlesztői.
-
A FreeRDP-hez öt patch vált elérhetővé.
-
A Dell biztonsági frissítést adott ki a Custom VMware ESXi-hez.
-
A Google kritikus veszélyességű sebezhetőségeket orvosolt a Chrome webböngésző kapcsán.
-
Az IBM QRadar SIEM-hez egy biztonsági javítás érkezett.
-
A Fortinet FortiNAC-F kapcsán egy biztonsági hibára derült fény.
-
A Firefox legújabb kiadása számos sebezhetőséget orvosolt.
-
A CrushFTP fejlesztői egy biztonsági rést foltoztak be.
-
A GNU C Library kapcsán egy veszélyes biztonsági résre derült fény.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.