Os pesquisadores da Check Point Research (CPR), divisão de Inteligência de Ameaças da Check Point Software, identificaram um crescimento de 22% dos ciberataques baseados no uso de documentos em PDF, representando todos os anexos maliciosos disseminados via e-mail.
De acordo com a Adobe, só no ano passado, foram mais de 400 bilhões de documentos PDFs abertos e 16 bilhões de documentos editados. Além disso, mais de 87% das organizações no mundo usam esse formato como arquivo padrão para comunicação corporativa, tornando-os meios ideais para atacantes esconderem códigos maliciosos.
Os cibercriminosos têm recorrido a técnicas sofisticadas para contornar sistemas de detecção das soluções de segurança, tornando estes ataques cada vez mais difíceis de serem identificados e interrompidos.
“Os PDFs são universalmente confiáveis, por isso são o disfarce perfeito para as ameaças cibernéticas modernas. À medida que os atacantes mudam suas táticas de exploração de vulnerabilidades para exploração da confiança humana, a única defesa eficaz é uma segurança preventiva que inspeciona cada arquivo em tempo real e uma proteção proativa baseada em IA que bloqueia PDFs maliciosos antes mesmo de chegarem à caixa de entrada de e-mails”, explica Matanya Moses, diretor de Proteção Cibernética da CPR.
Mas, por quê PDFs?
Os PDFs são arquivos bastante complexos. A especificação PDF, ISO 32000, tem quase mil páginas e inclui inúmeras funcionalidades que podem ser exploradas para evasão. Essa complexidade abre caminho a diversos vetores de ataque que muitas soluções de segurança não conseguem detectar eficazmente.
Em muitos aspetos, os PDFs funcionam como testes Captcha, fáceis para humanos, difíceis para sistemas automatizados. Esta combinação de simplicidade para o usuário e complexidade para os sistemas de segurança é precisamente o que os torna tão atrativos para os atacantes.
Nos últimos anos, a prática de usar o formato de maneira maliciosa tornou-se mais sofisticados. Antigamente, os cibercriminosos exploravam vulnerabilidades conhecidas (CVEs) nos leitores de PDF. No entanto, conforme os leitores foram se tornando mais seguros, em especial navegadores, esse método de ataque é menos confiável para campanhas em larga escala.
Os ataques com JavaScript embutido, embora ainda comuns, são cada vez menos frequentes. Estes são considerados “ruidosos” e mais fáceis de detectar. A CPR descobriu que muitos dos “exploits” baseados em JavaScript eram pouco confiáveis entre diferentes leitores, e muitas soluções de segurança já os detectam.
Sendo assim, os atacantes mudaram de tática. Em vez de explorarem falhas técnicas, estão agora apostando fortemente em engenharia social, com ataques de phishing. Os arquivos, quando alterado, contêm links perigosos, código malicioso ou outros conteúdos prejudiciais e disfarçados de documentos legítimos.
Anatomia de um ataque
Uma das técnicas mais comuns observadas pela CPR são as campanhas baseadas em links. Nestes casos, o arquivo contém um link para um site de phishing ou para baixar arquivos maliciosos. Esse link vem frequentemente acompanhado de uma imagem ou texto com o objetivo de convencer o usuário a clicar.
Estas imagens costumam imitar marcas reconhecidas — como Amazon, DocuSign ou Acrobat Reader —, dando ao documento um aspecto inofensivo. Como o atacante controla todos os elementos (link, texto e imagem), é fácil alterar rapidamente qualquer parte, tornando estas campanhas difíceis de serem detectadas com ferramentas baseadas em reputação ou assinaturas estáticas.
Embora envolvam interação humana, isso é uma vantagem para os atacantes, já que as sandboxes e os sistemas automatizados têm dificuldade em lidar com decisões humanas.
Como se proteger de ataques baseados em PDF
Existem boas práticas essenciais que todos devem seguir para reduzir o risco, entre elas:
- Verifique sempre o remetente: mesmo que o PDF pareça legítimo, confirme o endereço de e-mail, os atacantes muitas vezes falsificam domínios de marcas conhecidas;
- Desconfie de anexos inesperados: se o usuário não está esperando receber um PDF — especialmente se é solicitado que clique em um link, ou para digitalizar um QR Code ou ainda para fazer uma chamada — o ideal é assumir que ele pode ser malicioso;
- Passe o mouse sobre os links antes de clicar: verifique a URL completa, links encurtados ou redirecionamentos (Bing, AMP, LinkedIn) devem levantar suspeitas;
- Use um leitor de PDF seguro e atualizado: evite abrir PDFs em software desatualizado ou desconhecido;
- Desative JavaScript no leitor de PDF: se o leitor permite JavaScript, desative-o a não ser que seja absolutamente necessário;
- Mantenha sistemas e software de segurança atualizados: atualizações corrigem vulnerabilidades exploradas por PDFs maliciosos.
- Confie no seu instinto: se algo parecer demasiado bom para ser verdade, tiver erros de ortografia estranhos ou pedir credenciais, provavelmente se trata de uma armadilha para ciberataque.
Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!