Οι εγκληματίες έχουν αρχίσει να χρησιμοποιούν ένα σκοτεινό φίλτρο εικόνας για να κάνουν κακόβουλα αρχεία PDF όλα εκτός από αόρατα σε πολλά προγράμματα προστασίας από ιούς, δήλωσε η τσεχική εταιρεία ασφαλείας Avast Software.
Το κόλπο περιλαμβάνει την απόκρυψη μιας κοινής εκμετάλλευσης Adobe Reader μέσα σε ένα αρχείο PDF (Portable Document Format) κωδικοποιώντας το με το φίλτρο JBIG2Decode, που χρησιμοποιείται συνήθως για την ελαχιστοποίηση των μεγεθών αρχείων κατά την ενσωμάτωση μονόχρωμων εικόνων TIFF (Tagged Image File Format) μέσα σε PDF.
[Μάθετε πώς μπορείτε να αποκλείσετε τους ιούς, τα worms και άλλα κακόβουλα προγράμματα που απειλούν την επιχείρησή σας, με πρακτικές συμβουλές από ειδικούς συνεργάτες στον οδηγό PDF "Malware Deep Dive". ]
Επειδή το περιεχόμενο εμφανίζεται σε λογισμικό προστασίας από ιούς ως μια αβλαβής δισδιάστατη εικόνα TIFF, η κακόβουλη εκμετάλλευση γίνεται απαρατήρητη.
"Ποιος θα πίστευε ότι ένας καθαρός αλγόριθμος εικόνας μπορεί να χρησιμοποιηθεί ως τυπικό φίλτρο σε οποιαδήποτε ροή αντικειμένων θέλετε;" είπε ο αναλυτής του ιού Avast, Jiri Sejtko, σε ένα blog. "Και αυτός είναι ο λόγος για τον οποίο ο σαρωτής μας δεν κατάφερε να αποκωδικοποιήσει το αρχικό περιεχόμενο - δεν περιμέναμε τέτοια συμπεριφορά."
Μέρος του προβλήματος ήταν το εύρος που προσφέρει η προδιαγραφή PDF για χρήση φίλτρων όπως το JBIG2Decode με ασυνήθιστους τρόπους, και ακόμη και για τη χρήση πολλών από αυτά ταυτόχρονα με πολυεπίπεδη μορφή, είπε.
Η ευπάθεια TIFF που στοχεύει είναι το CVE-2010-0188 από τον Φεβρουάριο του 2010, το οποίο επηρεάζει το Adobe Reader 9.3 ή παλαιότερες εκδόσεις που εκτελούνται σε Windows, Mac και Unix. Οι τρέχουσες εκδόσεις, Reader X 10.x, δεν επηρεάζονται αν και πολλοί χρήστες θα εξακολουθούν να χρησιμοποιούν παλαιότερες εκδόσεις.
Επιπλέον, οι ερευνητές της Avast πιστεύουν ότι η ίδια τεχνική φίλτρου JBIG2Decode χρησιμοποιείται για την απόκρυψη άλλων εκμεταλλεύσεων, συμπεριλαμβανομένης μιας εκμετάλλευσης γραμματοσειράς TrueType από τον Σεπτέμβριο του 2010 που επηρεάζει το πρόγραμμα ανάγνωσης 9.3.4 που εκτελείται σε όλες τις πλατφόρμες.
«Έχουμε δει αυτό το άσχημο κόλπο να χρησιμοποιείται σε μια στοχευμένη επίθεση και το έχουμε δει μέχρι στιγμής να χρησιμοποιείται σε σχετικά μικρό αριθμό γενικών επιθέσεων. Αυτός είναι ο λόγος για τον οποίο κανείς άλλος δεν μπορεί να το εντοπίσει », δήλωσε ο Sejtko. Η Avast είχε πλέον ενημερώσει το λογισμικό της για να εντοπίσει την επίθεση JBIG2Decode.
Οι τεχνικές που αποκρύπτουν εκμεταλλεύσεις με αυτόν τον τρόπο θα παραμείνουν σχετικά απαιτητικές για να ανιχνευθούν οι ανιχνευτές προστασίας από ιούς, διότι απαιτούν να μην επιλεγεί το ruse χρησιμοποιώντας έναν ειδικό αλγόριθμο και όχι μια απλή υπογραφή.
Ο Sejtko είπε ότι οι ερευνητές της Avast θα συζητούσαν τη χρήση φίλτρων για την απόκρυψη των εκμεταλλεύσεων στο προσεχές εργαστήριο Caro 2011 που πραγματοποιήθηκε στην Πράγα στις 5-6 Μαΐου.
