Angriffe über präparierte PDF-Dateien werden ausgefeilter

Der Hersteller von Antivirensoftware F-Secure berichtet in seinem Blog über verschiedene Anstrengungen offenbar chinesischer Angreifer, mittels manipulierter PDF-Dokumente Trojaner zu verbreiten. Bei der Analyse kommt F-Secure nach eigenen Angaben zu Gute, dass sie diverse Samples von Betreibern von Online-Scannern wie VirusTotal und Jotti zur Verfügung gestellt bekommen. Bei einem besonders interessanten Beispiel handelt es sich um ein präpariertes Dokument, das beim Öffnen wie ein Formular des US-amerikanischen Department of Homeland Security aussieht.

Nach Meinung von F-Secure wurde es wahrscheinlich für eine gezielte Attacke auf einen kleinen Personenkreis benutzt. Wird es in einer verwundbaren Version von Adobes Reader geöffnet, so legt es eine ausführbare Datei sowie eine PDF-Datei auf dem Windows-PC ab und startet die ausführbare Datei. Diese öffnet die abgelegte PDF-Datei, die das Formular der DHS darstellt -- um den Anwender keinen Verdacht schöpfen zu lassen. Zusätzlich legt die Datei ein Rootkit ab, um sich zu verstecken und nimmt Kontakt mit einem Control-Server in China auf.

Außerdem ist F-Secure in den Besitz eines PDF-Exploit-Tools mit grafischer Oberfläche gekommen, mit dem Angreifer auf einfache Weise beliebige Schädlinge in PDF-Dokumente einbetten können. Laut F-Secure steckte das erhaltene Tool selbst in einem PDF -- vermutlich hat der Angreifer statt eines Trojaners aus Versehen das Tool eingebettet und verschickt.

Die Lücken im Adobe Reader wurden bereits im Februar 2008 von Adobe in Version 8.1.2 des Reader Acrobat Professional, 3D und Standard geschlossen. Wer immer noch mit der alten Version arbeitet, sollte die aktuelle installieren. (dab)