Os pesquisadores da Check Point Research (CPR), divisão de Inteligência de Ameaças da Check Point Software, identificaram o crescimento de ciberataques baseados no uso de documentos em PDF, representando agora 22% de todos os anexos maliciosos disseminados via e-mail: mais de 400 bilhões de documentos PDFs foram abertos no ano passado, e 16 bilhões de documentos foram editados no Adobe Acrobat. Mais de 87% das organizações no mundo usam PDFs como um formato de arquivo padrão para comunicação corporativa.
Leia também
Simulação leva LLMs a criarem jailbreaks
Nitro PDF tem base de clientes e documentos vazada
Uma das técnicas mais comuns observadas pela CPR são as campanhas baseadas em links. Nestes casos, o PDF contém um link para um site de phishing ou para baixar arquivos maliciosos. Esse link vem frequentemente acompanhado de uma imagem ou texto com o objetivo de convencer o usuário a clicar.
Estas imagens costumam imitar marcas reconhecidas — como Amazon, DocuSign ou Acrobat Reader —, dando ao documento um aspecto inofensivo. Como o atacante controla todos os elementos (link, texto e imagem), é fácil alterar rapidamente qualquer parte, tornando estas campanhas difíceis de serem detectadas com ferramentas baseadas em reputação ou assinaturas estáticas.
Embora envolvam interação humana, isso é uma vantagem para os atacantes, já que as sandboxes e os sistemas automatizados têm dificuldade em lidar com decisões humanas.
Técnicas de evasão dos cibercriminosos
Os atacantes estão constantemente se adaptando para evitar a detecção. Estas técnicas revelam um profundo conhecimento das ferramentas de segurança e são muitas vezes desenhadas para contornar soluções específicas.
Técnicas de Evasão de URLs
A forma mais óbvia de identificar que um PDF possa ser malicioso é por meio da verificação da hiperligação que contém. Para evitar a detecção, os agentes de ameaças utilizam uma série de técnicas de evasão de URL, tais como:
- Redirecionamentos benignos: Os atacantes utilizam serviços como Bing, LinkedIn ou Google AMP para ocultar o destino final, aproveitando o fato de estes domínios estarem muitas vezes em listas brancas.
- QR Codes: Incorporam códigos QR no PDF, encorajando o usuário a usar o celular, o que contorna os scanners de URLs tradicionais.
- Chamadas telefônicas: Alguns ataques incentivam o usuário a ligar para um número, eliminando a necessidade de link, embora seja exigido um maior envolvimento humano.
Evasão à análise estática
A complexidade da estrutura de um arquivo PDF obriga muitas ferramentas de segurança a utilizarem o princípio de análise estática para identificar conteúdos maliciosos nos mesmos. Tal processo obriga os atacantes a ofuscarem o conteúdo do arquivo, dificultando essa mesma análise.
Estes utilizam anotações e objetos indiretos codificados de forma pouco comum, e aproveitam diferenças na forma como os leitores de PDF interpretam estas estruturas, fazendo com que o conteúdo malicioso passe despercebido.
Ofuscação de arquivos
Usam técnicas como encriptação, filtros e estruturações complexas para esconder as intenções reais. Muitos leitores de PDF priorizam a capacidade de abrir arquivos que aparentem estar corrompidos ou suspeitos, o que permite que documentos perigosos sejam abertos sem gerar alertas.
Evasão a sistemas de Machine Learning
À medida que as ferramentas de segurança estão cada vez mais dependentes de sistemas de Machine Learning (ML), os atacantes têm procurado maneiras de iludir esses sistemas. A solução mais utilizada é a aplicação de texto em imagens, o que obriga os sistemas de segurança a usar OCR (Reconhecimento Óptico de Caracteres), o que introduz erros e atrasos.
Outra solução utilizada passa pela aplicação de texto invisível ou minúsculo, como forma de enganar modelos de Processamento de Linguagem Natural (NLP), dificultando assim a compreensão do conteúdo real do documento.
