De PDF’s worden opgestuurd in mails die zich voordoen als berichten van systeembeheerders, met onderwerpen als “De instellingen van uw mailbox zijn gewijzigd”, zegt Mary Grace Gabriel, research engineer bij de security Group van CA. In een aangehechte PDF zouden vervolgens instructies staan om de instellingen van de mailbox te herstellen.

In werkelijkheid is in de PDF malware opgenomen die gebruikmaakt van de /Launch functie van het PDF-formaat. Op die manier kan de malware worden geïnstalleerd op Windows pc’s waarop de meest recente versies van Adobe’s Acrobat of de gratis Reader draaien, maar ook andere PDF-lezers, zoals de populaire gratis Foxit Reader.

De /Launch functie is niet zo zeer een ontwerpfout als wel een bewust ingebouwde functionaliteit binnen de PDF-specificatie. Eerder deze maand toonde de Belgische onderzoeker Didier Stevens aan hoe PDF-documenten gebruik kunnen maken van /Launch om malware te draaien die in de documenten is verborgen.

Twee weken geleden ontdekten onderzoekers al een nieuwe versie van het Zeus botnet dat gebruikmaakt van /Launch om pc’s te infecteren.

Adobe heeft eerder geweigerd te antwoorden op vragen over de gebruik van /Launch in het wild via gemanipuleerde documenten aanleiding zou zijn om Reader en Acrobat bij te werken. Het bedrijf heeft wel laten weten dat een aanpassing van de functionaliteit “mogelijk beschikbaar komt in een van de geplande product-updates die ieder kwartaal worden aangeboden”. Brad Arkin, hoofd security and privacy bij Adobe, erkent dat de functionaliteit mogelijk moet worden uitgeschakeld. Op dit moment staat de functie standaard aan.

Na analyse van de huidige malware-PDF’s ontdekten onderzoekers dat de hackers de door Stevens beschreven tactiek gebruiken, waarbij de waarschuwing wordt aangepast die Reader en Acrobat tonen bij het openen. Volgens onderzoekers van IBM hebben hackers die waarschuwingen zo aangepast dat er alleen nog staat: “Click the 'open' button to view this document.”

Andere onderzoekers, waaronder mensen van CERT-Lexsi in Parijs, komen ook met berichten over emails met besmette PDF’s. Volgens CERT-Lexsi staat de server waarvan de berichten afkomstig zijn in Korea.

Volgens IBM lijkt de malware die door de PDF’s wordt geïnstalleerd een versie van de Auraax o Emold wormen. Zo’n worm plaatst een rootkit op de besmette pc en probeert zichzelf te kopiëren naar draagbare media, inclusief USB-sticks, om zichzelf vervolgens verder te verspreiden door de Autorun-functie te misbruiken, zoals dat in 2008 al door de Conficker worm is gedaan.

Bij onze uitgever IDG zijn al een aantal mails binnengekomen die van besmette PDF’s waren voorzien. Ze lijken afkomstig van binnen het eigen bedrijf, door gebruik van mailadressen als [email protected], [email protected] of [email protected], waarin de domeinnaam gewoonlijk het domein is van het bedrijf waar de mails naar verstuurd worden.

Een woordvoerster van Adobe weigerde gisteren nog commentaar te geven op deze aanvallen. Volgens haar bekijkt Adobe op dit moment nog op welke manieren de /Launch functionaliteit in Adobe Reader en Acrobat misbruikt kan worden, “zodat we de gebruikelijke workflow van onze klanten niet in gevaar brengen” met eventuele maatregelen. Op dit moment adviseert Adobe zijn klanten Reader en Acrobat zo in te stellen dat dergelijke aanvallen worden verhinderd. Instructies staan op de website van Adobe .

Het IBM security team raadt gebruikers bovendien aan de Windows Autorun-functie uit te schakelen voor alle USB-sticks en geheugenkaarten. In dit Microsoft-document staat uitgelegd hoe dat moet.

Bron: Techworld