Ωστόσο, αυτή ακριβώς η ευκολία είναι και ο λόγος που τα αρχεία PDF αποτελούν ιδανικό μέσο κάλυψης για κάθε είδους απειλές. Με την πρώτη ματιά, φαίνονται απολύτως ακίνδυνα. Στην πραγματικότητα όμως, ένα αρχείο PDF μπορεί να περιέχει κακόβουλο λογισμικό ή να είναι ένας διαφορετικός τύπος αρχείου που παρουσιάζεται ως PDF - χωρίς να διαφέρει οπτικά από ένα συνηθισμένο τιμολόγιο, ένα βιογραφικό ή ένα κυβερνητικό έντυπο, προειδοποιεί η Fabiana Ramírez Cuenca από την ομάδα της παγκόσμιας εταιρίας κυβερνοασφάλειας ESET.

Πρόσφατα δεδομένα τηλεμετρίας της ESET επιβεβαιώνουν ότι τα PDF συγκαταλέγονται μεταξύ των πιο συχνά χρησιμοποιούμενων τύπων αρχείων σε κακόβουλες εκστρατείες.

Ένας λύκος με προβιά προβάτου

Τα παγιδευμένα αρχεία PDF φτάνουν συχνά με τη μορφή συνημμένου σε μηνύματα ηλεκτρονικού ταχυδρομείου ή ως σύνδεσμοι σε μηνύματα ηλεκτρονικού ψαρέματος, που προτρέπουν τα θύματα σε ενέργειες. Όπως συμβαίνει γενικά σε εκστρατείες κοινωνικής μηχανικής, τα δολώματα είναι σχεδιασμένα προσεκτικά για να προκαλούν έντονα συναισθήματα — επείγουσα ανάγκη (π.χ. «τελική ειδοποίηση»), φόβο («λογαριασμός σε αναστολή») ή περιέργεια («αποτελέσματα εξετάσεων διαθέσιμα»). Ο τελικός στόχος είναι να χαλαρώσετε την προσοχή σας και, με προτροπές όπως «πληρώστε τώρα» ή «ελέγξτε άμεσα», να σας πιέσουν να ανοίξετε ένα αρχείο ή να κάνετε κλικ σε έναν σύνδεσμο.

Υπάρχουν διάφορες τεχνικές επίθεσης. Πχ:

• Ενσωματωμένα scripts που εκτελούνται όταν ανοίγει το αρχείο, επιτρέποντας στους επιτιθέμενους να ξεκινήσουν διάφορες ενέργειες και να αναπτύξουν επιπρόσθετα payloads. Το JavaScript σε PDF μπορεί να χρησιμοποιηθεί νόμιμα για διαδραστικές φόρμες και αυτοματοποίηση, αλλά επίσης μπορεί να καταχραστεί για λήψη ή εκτέλεση κακόβουλου κώδικα.
• Κρυμμένοι ή κακόβουλοι σύνδεσμοι: Σύνδεσμοι μέσα στο PDF μπορούν να ανακατευθύνουν σε σελίδες συλλογής διαπιστευτηρίων ή να προτρέπουν το θύμα να κατεβάσει ένα κακόβουλο αρχείο (π.χ. ZIP ή εκτελέσιμο).
• Εκμετάλλευση ευπαθειών σε προγράμματα ανάγνωσης PDF: Κακοσχεδιασμένα αντικείμενα ή ειδικά διαμορφωμένο περιεχόμενο μπορούν να εκμεταλλευτούν σφάλματα σε ευάλωτες εκδόσεις κοινών αναγνωστών PDF και να οδηγήσουν σε εκτέλεση κώδικα — όπως συνέβη με κενό ασφάλειας που επηρέαζε το Adobe Reader και τεκμηριώθηκε από ερευνητές της ESET.
• Αρχεία που μοιάζουν με PDF αλλά δεν είναι: Αρχεία που εμφανίζονται ως PDF στην επιφάνεια εργασίας (π.χ. «invoice.pdf») μπορεί στην πραγματικότητα να είναι scripts, εκτελέσιμα ή αρχεία Microsoft Office με κρυφή πραγματική επέκταση. Όταν τα ανοίξετε, μπορεί να εκτελείται ένα εκτελέσιμο αρχείο και όχι απλώς να προβάλλεται ένα έγγραφο.

Χαρακτηριστικό παράδειγμα είναι εκστρατεία που διένειμε νωρίτερα μέσα στη χρονιά τον τραπεζικό trojan Grandoreiro. Η επίθεση ξεκινούσε από ένα email που προέτρεπε το θύμα να ανοίξει ένα έγγραφο που φαινόταν ως PDF. Στην πραγματικότητα, επρόκειτο για ένα αρχείο ZIP που περιείχε, μεταξύ άλλων, ένα αρχείο VBScript. Το VBScript απελευθέρωνε το Grandoreiro στη συσκευή και τελικά έδινε στους εγκληματίες πρόσβαση σε τραπεζικά στοιχεία του θύματος.