MessageLabs erklärt PDF-Angriff

Gemäss der Experten von MessageLabs, der Analyse-Abteilung von Symantec Hosted Services, kann anhand des Zero-Day-Angriffs der Aufbau, den solche gezielten Aktionen inzwischen häufig haben, gut erklärt werden: Dabei wird komplexer, intelligent programmierter Schadcode auf eine Sicherheitslücke in einer Anwendung zugeschnitten und mittels Social-Engineering-Techniken an den arglosen Nutzer gebracht.

In diesem Fall erreichten Mails mit angehängten PDF-Dateien die Postfächer. Die Nachrichten versprachen kostenlose Golf-Kurse, hochwertige Reisen nach China oder die Teilnahme an einer Experten-Runde zu politischen Themen. Ziel war immer, den Nutzer zum Öffnen des Anhangs zu bewegen. Einmal angeklickt, prüfte das JavaScript-basierte Schadprogramm zunächst, welche Version des PDF-Readers installiert war. Anschliessend wählte das Programm automatisch die passende Seite im PDF-Dokument aus. Dort waren manipulierte True Type Fonts eingebettet. Im Quellcode dieser normalerweise harmlosen Schriftartdateien hatten die Angreifer ihre eigenen Programmroutinen versteckt und sie damit zu Malware umfunktioniert. Passte keine der integrierten Varianten zur vorhandenen Version des Readers, forderte das Angriffsprogramm den Nutzer auf, ein Update zu installieren.

Einmal mehr zeigt sich hier, dass Dateien im PDF-Format in Kombination mit JavaScript zu besonders tückischen Waffen für Cybergangster werden. Besonders die Möglichkeit, aktiven Code in die Dokumente einzubetten, macht das Format bei Kriminellen beliebt.