Avast trova l'exploit PDF invisibile ai programmi antivirus

I criminali hanno iniziato a utilizzare un oscuro filtro di immagini per rendere i file PDF dannosi quasi invisibili a molti programmi antivirus, ha affermato la società di sicurezza ceca Avast Software.

Il trucco consiste nel nascondere un exploit comune di Adobe Reader all'interno di un file PDF (Portable Document Format) codificandolo con il filtro JBIG2Decode, normalmente utilizzato per ridurre al minimo le dimensioni dei file quando si incorporano immagini TIFF (Tagged Image File Format) monocromatiche all'interno dei PDF.

[Scopri come bloccare virus, worm e altri malware che minacciano la tua azienda, con i consigli pratici dei collaboratori esperti di di nella guida PDF "Malware Deep Dive". ]

Poiché il contenuto appare al software antivirus come un'immagine TIFF bidimensionale innocua, l'exploit dannoso passa inosservato.

"Chi avrebbe mai pensato che un algoritmo di immagine puro potesse essere utilizzato come filtro standard su qualsiasi flusso di oggetti che desideri?" ha detto l'analista di virus Avast, Jiri Sejtko, in un blog. "E questo è il motivo per cui il nostro scanner non è riuscito a decodificare il contenuto originale: non ci aspettavamo un simile comportamento".

Parte del problema era l'ambito offerto dalla specifica PDF per utilizzare filtri come JBIG2Decode in modi insoliti e persino per usarne diversi contemporaneamente in modo stratificato, ha detto.

La vulnerabilità TIFF presa di mira è CVE-2010-0188 di febbraio 2010, che interessa Adobe Reader 9.3 o versioni precedenti in esecuzione su Windows, Mac e Unix. Le versioni attuali, Reader X 10.x, non sono interessate, sebbene molti utenti continueranno a utilizzare versioni precedenti.

Inoltre, i ricercatori di Avast ritengono che la stessa tecnica di filtro JBIG2Decode venga utilizzata per nascondere altri exploit, tra cui un exploit del carattere TrueType da settembre 2010 che interessa Reader 9.3.4 in esecuzione su tutte le piattaforme.

“Abbiamo visto questo brutto trucco essere usato in un attacco mirato e l'abbiamo visto usato finora in un numero relativamente piccolo di attacchi generali. Questo è probabilmente il motivo per cui nessun altro è in grado di rilevarlo ", ha detto Sejtko. Avast aveva ora aggiornato il suo software per rilevare l'attacco JBIG2Decode.

Le tecniche che mascherano gli exploit in questo modo rimarranno relativamente impegnative per gli scanner antivirus perché richiedono che lo stratagemma venga sbloccato utilizzando un algoritmo dedicato piuttosto che una semplice firma.

Sejtko ha affermato che i ricercatori Avast discuteranno dell'uso dei filtri per nascondere gli exploit durante il prossimo seminario Caro 2011 che si terrà a Praga il 5-6 maggio.