Existem duas táticas mais comuns que são empregadas por cibercriminosos que utilizam formato para enviar conteúdos suspeitos conheça;

Muitos usuários pensam que apenas os documentos como planilhas ou arquivos de texto são usados em atividades maliciosas através de macros, mas há outros perigos para a segurança dos equipamentos.

Um dos formatos mais utilizados a nível mundial para armazenamento de documentos é o PDF. Ainda que sua versatilidade seja extremamente útil, ela também é aproveitada de forma maliciosa por cibercriminosos, que utilizam esse tipo de arquivo como mais um meio para infectar usuários.
Embora as dinâmicas usadas pelos criminosos no momento de desenhar os PDFs maliciosos seja bastante variada, a ESET, empresa especialista em detectar ameaças, considera que existam duas “correntes” principais: com exploits e scripts.

Usando exploits

O PDF malicioso contém um exploit, ou seja, uma sequência de comandos capaz de aproveitar uma vulnerabilidade no programa no qual se abre o arquivo, comumente conhecido como leitor de PDF.

Cabe destacar que nem todos os programas apresentam as mesmas vulnerabilidades, além de que uma versão de um programa pode ser vulnerável e outra não.

Um exemplo desta dinâmica é o arquivo PDF malicioso analisado em 2018 pelos pesquisadores da ESET, no qual descobriram uma vulnerabilidade zero-day que afetava certas versões do popular leitor Adobe Reader e que, ao ser explorada, permitia que o criminoso executasse um código arbitrário no equipamento da vítima de maneira remota.

Aplicando scripts

Neste caso, os PDFs maliciosos contêm um script incorporado, cuja funcionalidade se limita a obter e executar outro malware mais completo, ou seja, eles geralmente não são a principal ameaça. Esses scripts geralmente utilizam duas estratégias:

• Baixar o malware de um site externo e executá-lo

• Executar um malware que está incorporado como mais um
objeto dentro do PDF malicioso

Para que o ataque seja efetivo, é necessário que o script
seja executado de forma automática e imediata quando o usuário abre o PDF.

É importante destacar que, assim como para a execução de macros Office, muitos programas leitores de documentos PDF costumam ter proteções que impedem que o código JavaScript possa abrir o arquivo incorporado sem autorização explícita do usuário. Por exemplo, o Adobe Acrobat Reader mostra uma mensagem perguntando se o usuário deseja abrir o conteúdo.

“Mesmo com esses mecanismos de segurança, não devemos subestimar o potencial malicioso dos PDFs, pois um usuário inexperiente e distraído, ou vítima de engenharia social, pode permitir que o arquivo seja aberto”, explica Camilo Gutiérrez, chefe do Laboratório de Pesquisa da ESET América Latina.

“Por outro lado, ao abrir arquivos que aproveitam a existência de uma vulnerabilidade no programa para ler PDF, nenhuma mensagem será exibida, pois a exploração ocorrerá sem a necessidade de interação do usuário”, aconselha

Prevenção

Por fim, esse formato de arquivo tem muito potencial para ser utilizado com fins maliciosos, seja por meio de um anexo ou por um exploit.

Ao criar PDFs:

• Limpar qualquer tipo de metadado que possa dar indício da versão do software com o qual se gerou o documento, do sistema operacional, do usuário, etc. Desta forma, se reduz o risco de que um ataque obtenha informação que seja de utilidade para planejar um ataque dirigido.

Em caso de abrir arquivos PDF:

• É essencial contar com algum produto de segurança capaz de analisar e deter esse tipo de ameaça, especialmente aqueles dispositivos nos quais se troca informação com clientes e pessoas desconhecidas, já que não é possível verificar a confiabilidade do emissor dos documentos.

• Se o software com o qual se abriu o PDF mostra algum formulário perguntando se deseja abrir, executar ou ativar alguma funcionalidade do documento em questão, é provável que este seja malicioso e convém verificar sua legitimidade.

• Assegurar-se de que o software utilizado para visualizar estes documentos esteja atualizado para a última versão. Desta forma, se reduz o risco de ser vítima de um PDF que contenha um exploit.