O uso de ficheiros PDF como "arma" de ciberataque está a aumentar, alertam os investigadores da Check Point Software. De acordo com dados avançados pelos especialistas, os ficheiros PDF já representam 22% de todos os anexos maliciosos propagados por email.

A situação torna-se ainda mais complicada quando se tem em conta que mais de 87% das organizações utilizam o PDF como o formato padrão de comunicação empresarial, com mais de 400 mil milhões de ficheiros abertos no último ano e 16 mil milhões de documentos editados no Adobe Acrobat.

A empresa de cibersegurança avança que os cibercriminosos têm vindo a recorrer a técnicas sofisticadas para contornar os sistemas de deteção das soluções de segurança, tornando estes ataques cada vez mais difíceis de identificar e de mitigar. Os investigadores identificaram múltiplas campanhas maliciosas que passaram despercebidas pelas soluções de segurança tradicionais, sem qualquer deteção registada no VirusTotal ao longo do último ano.

Clique nas imagens para ver com mais detalhe

Mas, por que motivo é que os ficheiros PDF são tão apelativos para os cibercriminosos? Os especialistas explicam que, embora seja simples de usar, este é um tipo de ficheiro complexo para os sistemas automatizados. A combinação entre a simplicidade para o utilizador e complexidade para os sistemas de segurança é o que os torna tão atrativos para os atacantes.

A Check Point Software realça que, nos últimos anos, os PDFs maliciosos tornaram-se mais sofisticados. Outrora, os cibercriminosos exploravam vulnerabilidades conhecidas nos leitores de PDF. Mas, agora, com os leitores mais atualizados, sobretudo aqueles que abrem os ficheiros por predefinição, a abordagem tornou-se menos eficaz para ataques em larga escala.

Em vez de explorarem falhas de segurança, os atacantes estão agora a apostar em táticas de engenharia social. Uma das técnicas mais comuns são as campanhas baseadas em links. Nestes casos, o PDF contém um link para um site de phishing ou para descarregar ficheiros maliciosos.

Além disso, o link é frequentemente acompanhado por uma imagem ou texto para convencer os utilizadores a clicarem. As imagens em questão costumam imitar marcas conhecidas, como como Amazon, DocuSign ou Acrobat Reader. Nestes casos, como o atacante controla todos os elementos, incluindo link, texto e imagem, é fácil alterar rapidamente qualquer parte, tornando as campanhas mais difíceis de detetar.

Para evitar a deteção, os cibercriminosos adaptam constantemente as suas táticas. Entre as táticas mais frequentes estão a evasão de URLs, através de redirecionamentos para "ocultar" o destino final, códigos QR ou até chamadas telefónicas. Contam-se também a evasão à análise estática, assim como aos sistemas de machine learning usados em ferramentas de segurança, e o uso de técnicas como ncriptação, filtros e estruturações complexas para esconder as intenções maliciosas.

Para manter-se a salvo de ataques com ficheiros PDF, os especialistas recomendam que verifique sempre o remetente das mensagens e emails que recebe. Deve também desconfiar de anexos inesperados, passar com o cursor sobre o link antes de clicar para verificar o URL completo, usar um leitor de PDFs seguro e manter os sistemas e software sempre atualizados.