Desinfec’t: Potenziell gefährliche PDF-Dokumente mit QPDF entschlüsseln
Viele Malware-Analysewerkzeuge kapitulieren vor passwortgeschützten PDFs. Der Desinfec’t-Neuzugang QPDF räumt dieses Hindernis aus dem Weg.
(Bild: KI, Andreas Martini, Collage c't)
Um im Rahmen von Phishing-Kampagnen Empfänger, Spamfilter und Antivirensoftware gleichermaßen auszutricksen, müssen sich Cybergangster stetig etwas Neues einfallen lassen. Folgerichtig beobachteten Sicherheitsforscher auch in den vergangenen Monaten wieder clevere Kombinationen verschiedener Verschleierungstechniken, in denen präparierte PDF-Dokumente als Köder dienen. Zum Beispiel können PDFs mit einem Zugangsschutz versehen werden, der nicht nur für Malware-Analysten ein Ärgernis darstellt.
Wir beschreiben, wie man den erkennt und in vielen Fällen dann auch entfernen kann, um das Dokument danach untersuchen zu können oder es wie gewohnt zu benutzen.
- PDFs dienen immer wieder als Köder für Trojaner-Attacken.
- An mit einem Zugangsschutz versehenen PDFs beißen sich Malware-Analysetools die Zähne aus.
- Doch diesen Schutz kann man oft mit wenigen Handgriffen entfernen.
In aktuellen Cybercrime-Fällen tarnten Angreifer Links zu Phishing-Websites als QR-Codes ("Quishing") und versteckten diese in passwortgeschützten PDF-Dateien. Als vermeintliche Hotelrechnungen oder Geschäftsberichte verschickten sie die Dokumente anschließend per E-Mail. Das benötigte PDF-Passwort fügten sie als Bild in die Nachricht ein – lesbar für Menschen, nicht aber ohne Weiteres für automatische Erkennungsmechanismen.
Das war die Leseprobe unseres heise-Plus-Artikels "Desinfec’t: Potenziell gefährliche PDF-Dokumente mit QPDF entschlüsseln". Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.
