PDFs atacam em sites de conteúdo adulto
Nos últimos dias, foram identificados, pelos sistemas de análise do G Data Security Labs, várias centenas de domínios com nomes estranhos capazes de explorar um buraco de segurança no Acrobat Reader para infectar os sistemas dos utilizadores. Os nomes dos domínios utilizam “termos enganosos” para atrair os surfistas da Internet que procuram conteúdos adultos. Os operadores dos websites nocivos utilizam métodos aliciantes de SEO (optimização dos motores de busca) para se assegurarem que têm uma posição mais relevante na sequência de resultados que surgem nos motores de busca.
"Actualmente encontrámos estes ataques baseados em PDFs apenas em sites de conteúdo adulto. No entanto, e tendo em consideração o seu sucesso, é de esperar que num futuro próximo surjam outros sites que utilizem PDFs semelhantes como portadores maliciosos (malware)”, especula Ralf Benzmüller, director do G Data Security Labs.
O malware transferido durante os ataques também é identificado pela G Data como Packer Malware.h (Motor A) ou "Win32: Agent-ACFU [Trj] (Motor B) e é bloqueado conforme estabelecido (desde que o scan de HTTP não seja desactivado).
Os websites de domínios contêm frames incorporados que apontam para um documento PDF nocivo num servidor de distribuição chinês, que é automaticamente carregado segundo a configuração padrão de browsers comuns com plug-in do Acrobat logo quando o utilizador acede à página.
Os produtos antivírus da G Data identificam estes ficheiros PDF como “JS, Pdfka-FS”. Assim, enquanto a função de monitorização estiver ligada, os clientes da G Data estão automaticamente protegidos contra uma infecção.
Tal como outros programas nocivos que exploram falhas de segurança em documentos de formato PDF, o documento esconde estas funções nocivas através da sua funcionalidade de compressão.
O objecto não compactado contém um JavaScript que inicialmente desenvolve um heap-spray através do qual a memória principal da aplicação é preenchida com o código de ataque que é executado. Por último, o script explora uma sobrecarga da memória temporária na função Collab.getlcon de forma a executar o código nocivo já preparado. (veja CVE-2009-0927).
No decorrer dos últimos meses, o formato PDF tem gozado de uma popularidade crescente entre os criminosos online como um veículo de infecção para os computadores cliente devido a vários pontos fracos identificados no famoso produto Acrobat Reader. O ataque actual demonstra, de forma impressionante, as tentativas levadas a cabo pelos atacantes para atrair os surfistas da Internet que acedem a conteúdos pornográficos e, consequentemente, para espalhar o seu malware através da exploração destes pontos fracos.
Contacto de prensa
G Data Software AG
Ignacio Heras
Public Relations Manager (Iberia)
Francisco Giralte, 2 (esq. Príncipe de Vergara, 118)
Madrid 28002
Telf.: (+34) 917453073
Fax: (+34) 91 745 30 74
E-mail:
© 2007 - 2012 G Data Software AG. Todos os direitos reservados.
