Η ESET κρούει τον κώδωνα του κινδύνου για τις απειλές που κρύβονται σε παγιδευμένα αρχεία PDF

Ωστόσο, αυτή ακριβώς η ευκολία είναι και ο λόγος που τα αρχεία PDF αποτελούν ιδανικό μέσο κάλυψης για κάθε είδους απειλές. Με την πρώτη ματιά, φαίνονται απολύτως ακίνδυνα. Στην πραγματικότητα όμως, ένα αρχείο PDF μπορεί να περιέχει κακόβουλο λογισμικό ή να είναι ένας διαφορετικός τύπος αρχείου που παρουσιάζεται ως PDF - χωρίς να διαφέρει οπτικά από ένα συνηθισμένο τιμολόγιο, ένα βιογραφικό ή ένα κυβερνητικό έντυπο, προειδοποιεί η Fabiana Ramírez Cuenca από την ομάδα της παγκόσμιας εταιρίας κυβερνοασφάλειας ESET.

Πρόσφατα δεδομένα τηλεμετρίας της ESET επιβεβαιώνουν ότι τα PDF συγκαταλέγονται μεταξύ των πιο συχνά χρησιμοποιούμενων τύπων αρχείων σε κακόβουλες εκστρατείες.

Ένας... λύκος με προβιά προβάτου

Τα παγιδευμένα αρχεία PDF φτάνουν συχνά με τη μορφή συνημμένου σε μηνύματα ηλεκτρονικού ταχυδρομείου ή ως σύνδεσμοι σε μηνύματα ηλεκτρονικού ψαρέματος, που προτρέπουν τα θύματα σε ενέργειες. Όπως συμβαίνει γενικά σε εκστρατείες κοινωνικής μηχανικής, τα δολώματα είναι σχεδιασμένα προσεκτικά για να προκαλούν έντονα συναισθήματα — επείγουσα ανάγκη (π.χ. «τελική ειδοποίηση»), φόβο («λογαριασμός σε αναστολή») ή περιέργεια («αποτελέσματα εξετάσεων διαθέσιμα»). Ο τελικός στόχος είναι να χαλαρώσετε την προσοχή σας και, με προτροπές όπως «πληρώστε τώρα» ή «ελέγξτε άμεσα», να σας πιέσουν να ανοίξετε ένα αρχείο ή να κάνετε κλικ σε έναν σύνδεσμο.

Υπάρχουν διάφορες τεχνικές επίθεσης. Πχ:

• Ενσωματωμένα scripts που εκτελούνται όταν ανοίγει το αρχείο, επιτρέποντας στους επιτιθέμενους να ξεκινήσουν διάφορες ενέργειες και να αναπτύξουν επιπρόσθετα payloads. Το JavaScript σε PDF μπορεί να χρησιμοποιηθεί νόμιμα για διαδραστικές φόρμες και αυτοματοποίηση, αλλά επίσης μπορεί να καταχραστεί για λήψη ή εκτέλεση κακόβουλου κώδικα.

• Κρυμμένοι ή κακόβουλοι σύνδεσμοι: Σύνδεσμοι μέσα στο PDF μπορούν να ανακατευθύνουν σε σελίδες συλλογής διαπιστευτηρίων ή να προτρέπουν το θύμα να κατεβάσει ένα κακόβουλο αρχείο (π.χ. ZIP ή εκτελέσιμο).

• Εκμετάλλευση ευπαθειών σε προγράμματα ανάγνωσης PDF: Κακοσχεδιασμένα αντικείμενα ή ειδικά διαμορφωμένο περιεχόμενο μπορούν να εκμεταλλευτούν σφάλματα σε ευάλωτες εκδόσεις κοινών αναγνωστών PDF και να οδηγήσουν σε εκτέλεση κώδικα — όπως συνέβη με κενό ασφάλειας που επηρέαζε το Adobe Reader και τεκμηριώθηκε από ερευνητές της ESET.

• Αρχεία που μοιάζουν με PDF αλλά δεν είναι: Αρχεία που εμφανίζονται ως PDF στην επιφάνεια εργασίας (π.χ. «invoice.pdf») μπορεί στην πραγματικότητα να είναι scripts, εκτελέσιμα ή αρχεία Microsoft Office με κρυφή πραγματική επέκταση. Όταν τα ανοίξετε, μπορεί να εκτελείται ένα εκτελέσιμο αρχείο και όχι απλώς να προβάλλεται ένα έγγραφο.

Χαρακτηριστικό παράδειγμα είναι εκστρατεία που διένειμε νωρίτερα μέσα στη χρονιά τον τραπεζικό trojan Grandoreiro. Η επίθεση ξεκινούσε από ένα email που προέτρεπε το θύμα να ανοίξει ένα έγγραφο που φαινόταν ως PDF. Στην πραγματικότητα, επρόκειτο για ένα αρχείο ZIP που περιείχε, μεταξύ άλλων, ένα αρχείο VBScript. Το VBScript απελευθέρωνε το Grandoreiro στη συσκευή και τελικά έδινε στους εγκληματίες πρόσβαση σε τραπεζικά στοιχεία του θύματος.

Πώς εντοπίζουμε ένα ύποπτο αρχείο PDF

Ποια είναι, λοιπόν, τα προειδοποιητικά σημάδια που πρέπει να μας θέσουν σε συναγερμό;

• Το αρχείο έχει παραπλανητικό όνομα ή διπλή επέκταση. Αυτό συμβαίνει με ονόματα όπως invoice.pdf.exe ή document.pdf.scr, ειδικά όταν οι επιτιθέμενοι ρίχνουν τα δίχτυα τους σε ευρύ κοινό και προσπαθούν να παγιδεύσουν όσο το δυνατόν περισσότερους χρήστες. Αυτά τα αρχεία δεν είναι στην πραγματικότητα PDF – απλώς έχουν διαμορφωθεί έτσι ώστε να φαίνονται ως τέτοια.

• Η διεύθυνση ηλεκτρονικού ταχυδρομείου ή το όνομα του αποστολέα δεν ταιριάζει με τα στοιχεία που αναφέρονται στο αρχείο. Η διεύθυνση email του αποστολέα διαφέρει από αυτή του οργανισμού από τον οποίο υποτίθεται ότι προέρχεται το έγγραφο, ή το όνομα του τομέα είναι γραμμένο λανθασμένα ή φαίνεται ύποπτο.

• Το PDF είναι συμπιεσμένο μέσα σε αρχείο ZIP ή RAR. Αν το αρχείο PDF φτάνει μέσα σε ZIP ή RAR, αυτό γίνεται συνήθως σε μια προσπάθεια να παρακαμφθεί η ανίχνευση από τα φίλτρα ηλεκτρονικού ταχυδρομείου.

• Το μήνυμα είναι απρόσμενο ή «εκτός πλαισίου». Μπορούμε να ρωτήσουμε τον εαυτό μας: Ζήτησα αυτό το αρχείο; Γνωρίζω τον αποστολέα; Έχει λογική να μου το στείλει;

Αν λάβουμε ένα αρχείο PDF που μας προκαλεί υποψίες, είναι χρήσιμο να ακολουθήσουμε τα παρακάτω προληπτικά μέτρα:

1. Δεν το ανοίγουμε αμέσως. Αν έχουμε αμφιβολίες, καλύτερα να το διαγράψουμε. Η παροιμία «όταν έχεις αμφιβολίες, πέτα το» ισχύει απόλυτα σε αυτή την περίπτωση.

2. Επαληθεύουμε τον αποστολέα και το περιεχόμενο. Πριν ανοίξουμε το ύποπτο συνημμένο, μπορούμε να επικοινωνήσουμε με τον αποστολέα μέσω ενός ανεξάρτητου καναλιού — για παράδειγμα, με ένα τηλεφώνημα ή ξεχωριστό email — ώστε να βεβαιωθούμε ότι πράγματι το έστειλε.

3. Ελέγχουμε την επέκταση και το μέγεθος του αρχείου. Ενεργοποιούμε την επιλογή «εμφάνιση επεκτάσεων αρχείων» στο λειτουργικό σας σύστημα και βεβαιωνόμαστε ότι το αρχείο είναι πραγματικά .pdf (και όχι κάτι ύποπτο, όπως .exe). Ελέγχουμε, επίσης, αν το μέγεθος του αρχείου φαίνεται λογικό για το περιεχόμενό του.

4. Σαρώνουμε το αρχείο με το λογισμικό ασφαλείας μας. Εκτελούμε έναν έλεγχο με το ενημερωμένο antivirus μας ή ανεβάζουμε το αρχείο στο VirusTotal για μια γρήγορη διαδικτυακή ανάλυση.

5. Το ανοίγουμε με προσοχή. Αν είναι απολύτως απαραίτητο να ανοίξουμε το αρχείο, καλό είναι να χρησιμοποιήσουμε ένα ενημερωμένο πρόγραμμα προβολής PDF με ενεργοποιημένη λειτουργία sandboxing ή Protected View (όπως η αντίστοιχη επιλογή της Adobe).

Τι να κάνουμε αν υποψιαζόμαστε ότι έχουμε ανοίξει ένα ύποπτο αρχείο PDF

1. Αποσυνδεόμαστε από το διαδίκτυο, ώστε να μειώσουμε την πιθανότητα διαρροής δεδομένων ή λήψης κακόβουλου λογισμικού.

2. Εκτελούμε πλήρη σάρωση του υπολογιστή μας με ένα ενημερωμένο πρόγραμμα ασφαλείας. Αν δεν διαθέτουμε κάποιο, πραγματοποιούμε μια σάρωση με το δωρεάν εργαλείο σάρωσης της ESET.

3. Ελέγχουμε τις τρέχουσες διεργασίες και τις συνδέσεις δικτύου για τυχόν ανωμαλίες. Αν δεν έχουμε την απαραίτητη εμπειρία, καλό είναι να ζητήσουμε τη βοήθεια ενός επαγγελματία.

4. Αλλάζουμε τους κωδικούς πρόσβασής μας, ειδικά για τραπεζικούς ή άλλους σημαντικούς λογαριασμούς, εάν υποψιαζόμαστε ότι τα διαπιστευτήριά μας έχουν παραβιαστεί. Πρέπει να το κάνουμε από μια διαφορετική συσκευή από εκείνη στην οποία ανοίξατε το αρχείο PDF.

5. Αναφέρουμε το περιστατικό στην ομάδα IT ή κυβερνοασφάλειας, εάν το αρχείο ανοίχτηκε σε εταιρικό υπολογιστή.

Είναι βέβαιο ότι οι κυβερνοεγκληματίες θα συνεχίσουν να εκμεταλλεύονται την εμπιστοσύνη που δείχνουμε στα αρχεία PDF. Η χρήση των PDF για κακόβουλους σκοπούς μας υπενθυμίζει επίσης ότι οι απειλές ασφαλείας δεν παρουσιάζονται πάντα με προφανώς ύποπτη μορφή. Ο δοκιμασμένος και αξιόπιστος κανόνας ισχύει και εδώ: αντιμετωπίστε κάθε μη αναμενόμενο σύνδεσμο ή συνημμένο με προσοχή και βασιστείτε σε αξιόπιστα εργαλεία για την προστασία των δεδομένων και των συσκευών σας, διαμηνύει η ESET καταληκτικά.