Angriffe mit präparierten PDF-Dateien werden raffinierter

Laut der Internet-Nachrichtenplattform heise-online berichtet der Security-Spezialist F-Secure in seinem Blog über unterschiedliche Anstrengungen von Angreifern mit vermeintlich chinesischer Herkunft, durch Zuhilfenahme manipulierter PDF-Dokumente Trojaner zu verbreiten. Bei der Untersuchung des Toolskam dem Antivirus-Hersteller eigenen Angaben zufolge zu guten, dass sie unterschiedliche Samples von Betreibern von Online-Scannern wie VirusTotal und Jotti bereitgestellt bekommen haben. In einem Fall handelte es sich um ein manipuliertes Dokument, das beim Öffnen wie ein Formular des US-amerikanischen Department of Homeland Security aussieht.

Nach Meinung von F-Secure wurde es vermutlich für einen gezielten Angriff auf einen kleinen Personenkreis genutzt. Wird die Datei in einer angreifbaren Version des Adobe Reader geöffnet, so legt sie eine ausführbare Datei und eine PDF-Datei auf dem Windows-PC ab und startet die ausführbare Datei. Diese öffnet die abgelegte PDF-Datei, die das Formular des DHS darstellt, um die Anwender in Sicherheit zu wiegen. Zusätzlich legt die Datei ein Rootkit ab, um sich zu verstecken und nimmt Kontakt mit einem Control-Server in China auf.

Außerdem ist F-Secure laut heise-online in den Besitz eines PDF-Exploit-Tools mit grafischer Oberfläche gekommen, mit dem Angreifer auf simple Weise beliebige Schadcodes in PDF-Dokumente können. Laut F-Secure steckte das erhaltene Tool selbst in einem PDF.