Close Menu
    Trending

    PDF malevoli: un vero incubo per la sicurezza informatica

    By 9 Mins Read

    Uno studio di Check Point Research conferma che gli attacchi basati su PDF sono ancora molto diffusi e condivide qualche consiglio di sicurezza

    pdf

    I criminali informatici usano qualsiasi tattica per attaccare i sistemi informatici delle loro vittime e usano qualsiasi mezzo per riuscire nel loro intento. Gli attacchi basati su PDF, ad esempio, hanno ancora un discreto successo.

    Secondo Check Point Research, il 68% degli attacchi dannosi avviene tramite e-mail, ma quelli basati su PDF rappresentano il 22% di tutti gli allegati e-mail dannosi. Questo li rende particolarmente insidiosi per le aziende che condividono grandi quantità di questi file nel corso del lavoro quotidiano. Gli attori delle minacce hanno iniziato a sfruttare la loro profonda conoscenza del modo in cui i fornitori di sicurezza scansionano e analizzano i file, e i PDF stanno diventando un punto di ingresso preferito grazie alla loro elevata percentuale di successo.

    Lo scorso anno sono stati aperti oltre 400 miliardi di PDF e 16 miliardi di documenti sono stati modificati con Adobe Acrobat. Oltre l’87% delle organizzazioni utilizza i PDF come formato standard di file per le comunicazioni aziendali, il che li rende veicoli ideali per gli aggressori per nascondere un codice malevolo. I PDF sono stati per anni i canali preferiti dai cybercriminali, che utilizzano contromisure sofisticate per aggirare il rilevamento, rendendo questi attacchi sempre più difficili da individuare. Check Point Research (CPR) ha monitorato una grande quantità di campagne malevole che non vengono rilevate dai fornitori di sicurezza tradizionali, con zero rilevamenti in VirusTotal nell’ultimo anno.

    I PDF sono un obiettivo primario per i criminali informatici

    I PDF sono piuttosto complessi. La specifica PDF, ISO 32000, si estende per quasi 1.000 pagine, fornendo un’ampia gamma di funzionalità che possono essere sfruttate per l’elusione. Questa complessità apre la porta a numerosi vettori di attacco che alcuni sistemi di sicurezza non sono in grado di rilevare. Per molti versi, i PDF si comportano come i test CAPTCHA. Sono progettati per attirare le vittime umane e allo stesso tempo per eludere i sistemi di rilevamento automatici. Questa combinazione unica di semplicità per l’utente e complessità per i sistemi di sicurezza è ciò che rende i PDF così attraenti per i malintenzionati.

    Negli ultimi anni i PDF malevoli sono diventati sempre più sofisticati. In passato, i criminali informatici utilizzavano le vulnerabilità note dei lettori PDF (CVE) per sfruttare le falle del software. Tuttavia, poiché i lettori di PDF sono diventati più sicuri e vengono aggiornati di frequente (soprattutto i browser che ora aprono i PDF per impostazione predefinita), questo metodo di attacco è meno affidabile per le campagne di massa.

    Gli attacchi basati su JavaScript o su altri contenuti dinamici incorporati nei PDF, pur essendo ancora diffusi, sono diventati meno comuni e vengono rilevati più facilmente dalle soluzioni di sicurezza. Check Point Research ha rilevato che la maggior parte dei cosiddetti “exploit” basati su JavaScript non sono affidabili tra i diversi lettori di PDF, e molti fornitori di sicurezza sono in grado di individuarli.

    Come in tutte le cose, quando si chiude una porta se ne apre un’altra e gli attori delle minacce sono stati costretti a cambiare tattica. Invece di utilizzare exploit complessi, molti attacchi si affidano ora a un approccio più semplice, ma efficace: l’ingegneria sociale.

    I criminali informatici adottando spesso il formato PDF per attacchi phishing perché il formato è ampiamente considerato sicuro e affidabile. Questi file, generalmente percepiti come documenti autentici, fungono da contenitori flessibili per nascondere link dannosi, codici o altri contenuti malevoli. Sfruttando la familiarità degli utenti con gli allegati PDF e utilizzando tattiche di social engineering, gli aggressori aumentano le possibilità di ingannare i destinatari. Inoltre, i PDF possono sfuggire ai sistemi di sicurezza della posta elettronica, più attenti a rilevare le minacce in altri tipi di file.

    In alcuni attacchi il PDF contiene un link che conduce a un sito web malevoli o a una pagina di phishing. Sebbene questa tecnica sia relativamente meno “fine” a livello tecnologico, la sua semplicità la rende più difficile da rilevare per i sistemi automatici. L’obiettivo dell’aggressore è far sì che la vittima faccia clic sul link, avviando così la catena di attacchi.

    Anatomia di una campagna di attacco PDF

    Una delle tecniche di attacco PDF più comuni osservata da Check Point Research riguarda le campagne basate sui link. Queste campagne sono semplici ma incredibilmente efficaci. In genere si tratta di un PDF che contiene un link a un sito di phishing o al download di un file dannoso. Spesso il link è accompagnato da un’immagine o da un testo progettato per attirare la vittima a fare clic. Queste immagini spesso imitano marchi affidabili come Amazon, DocuSign o Acrobat Reader, facendo sembrare il file a prima vista innocuo.

    Ciò che rende queste campagne difficili da rilevare è che gli attaccanti controllano tutti gli aspetti del link, del testo e dell’immagine, rendendo facile la modifica di uno qualsiasi di questi elementi. Questa flessibilità consente a questi attacchi di resistere agli strumenti di sicurezza basati sulla reputazione o a quelli che si basano su firme statiche. Anche se questi attacchi comportano un’interazione umana (la vittima deve cliccare sul link), questo è spesso un vantaggio per gli aggressori, poiché le sandbox e i sistemi di rilevamento automatizzati hanno difficoltà a svolgere compiti che richiedono un processo decisionale umano.

    Tecniche di elusione utilizzate dagli attori delle minacce

    I criminali informatici adattano continuamente tecniche per eludere il rilevamento da parte dei sistemi di sicurezza. Queste tecniche dimostrano una profonda comprensione del funzionamento dei diversi metodi di rilevamento e sono spesso studiate su misura per aggirare strumenti specifici.

    Tecniche di elusione degli URL

    L’indizio più evidente che un PDF potrebbe essere dannoso è il link che contiene. Per evitare il rilevamento, gli attori delle minacce utilizzano una serie di tecniche di evasione degli URL, quali:

    • Utilizzo di servizi di reindirizzamento benigni: gli aggressori spesso utilizzano servizi di reindirizzamento noti, come Bing, LinkedIn o gli URL AMP di Google, per mascherare la vera destinazione del link dannoso. Questi servizi sono spesso inseriti nella whitelist dei fornitori di sicurezza, il che rende più difficile rilevare la minaccia per i sistemi basati sulla reputazione degli URL.
    • Codici QR. Un’altra tecnica prevede l’inserimento di QR code nei PDF, che la vittima è invitata a scansionare con il proprio telefono. Questo approccio aggira completamente i tradizionali scanner di URL e aggiunge un ulteriore livello di complessità all’attacco.
    • Truffe telefoniche: In alcuni casi, gli aggressori si affidano all’ingegneria sociale per spingere le vittime a chiamare un numero di telefono. Questo approccio elimina completamente la necessità di un URL sospetto, ma richiede una significativa interazione umana.

    Aggiramento dell’analisi statica

    I PDF hanno una struttura complessa e molti strumenti di sicurezza si basano sull’analisi statica per rilevare attività malevole. Tuttavia, questo metodo non è sempre efficace contro gli attacchi sofisticati basati sui PDF. I criminali possono offuscare il contenuto del file, rendendo più difficile l’analisi da parte degli strumenti di sicurezza.

    Ad esempio, i PDF utilizzano le annotazioni per definire le aree cliccabili (come i collegamenti), ma queste annotazioni possono essere codificate in modi difficili da riconoscere per gli strumenti di analisi statica. Gli aggressori potrebbero persino sfruttare le piccole differenze tra i lettori di PDF per interpretare queste annotazioni, facendo sì che i sistemi automatizzati non colgano l’intento malevolo.

    Oscuramento dei file

    I PDF possono essere pesantemente offuscati, rendendo difficile il rilevamento del comportamento malevolo. Gli aggressori spesso utilizzano crittografia, filtri e oggetti indiretti per nascondere le loro vere intenzioni. Sebbene queste tecniche possano far apparire il file corrotto o sospetto, molti comuni lettori di PDF sono progettati per privilegiare la robustezza rispetto alla stretta aderenza alle specifiche PDF, consentendo a tali file di aprirsi correttamente per l’utente ma di non essere rilevati dai sistemi automatici.

    Aggiramento del Machine Learning

    Poiché i sistemi di sicurezza si affidano sempre più Machine Learning (ML) per rilevare le minacce, gli aggressori stanno trovando il modo di eludere questi modelli. Una tecnica comune consiste nell’incorporare il testo nelle immagini anziché utilizzare formati di testo standard, costringendo i sistemi di sicurezza a fare affidamento sul riconoscimento ottico dei caratteri (OCR) per estrarre il testo e rendendolo più incline a errori e ritardi. Gli attaccanti possono anche manipolare le immagini, utilizzando file di bassa qualità o alterando i caratteri in modo sottile per confondere il software OCR. Inoltre, gli aggressori possono aggiungere testo invisibile o estremamente piccolo per ingannare i modelli di elaborazione del linguaggio naturale (NLP), rendendo più difficile per i sistemi di sicurezza capire il vero intento del documento.

    Come essere al sicuro dagli attacchi basati sui PDF

    Check Point Threat Emulation e Harmony Endpoint offrono una solida protezione contro diverse tattiche di attacco, tipi di file e sistemi operativi, difendendo da varie minacce qua riportate.

    Di seguito alcuni accorgimenti pratici per ridurre il rischio:

    • Verificare sempre il mittente. Anche se il PDF sembra legittimo, controllate due volte l’indirizzo e-mail del mittente. I criminali informatici spesso si fingono marchi noti o colleghi per indurre a fidarsi del file.
    • Cautela con gli allegati. Se non si attende un PDF, soprattutto se viene richiesto di cliccare su un link, scansionare un codice QR o chiamare un numero, è bene considerarlo sospetto. In caso di dubbio, non cliccare mai sul link o sul documento.
    • Passare il mouse prima di fare clic. Prima di fare clic su un link in un PDF, è consigliabile passarci sopra il mouse per vedere l’URL completo. È inoltre buona norma fare attenzione ai link abbreviati o a quelli che utilizzano servizi di reindirizzamento come Bing, LinkedIn o Google AMP.
    • Utilizzare un visualizzatore PDF sicuro. I browser e i lettori di PDF moderni sono spesso dotati di funzioni di sicurezza integrate. È molto importante tenerli aggiornati ed evitare di aprire i PDF con software obsoleti.
    • Disattivare JavaScript nei visualizzatori PDF. Se il lettore PDF supporta JavaScript (molti lo fanno), è consigliabile disattivarlo se non è assolutamente necessario. In questo modo si riduce il rischio di exploit basati su script.
    • Mantenere aggiornati i sistemi e gli strumenti di sicurezza. Assicurarsi che il sistema operativo, il browser e il software antivirus siano regolarmente aggiornati. Le patch spesso chiudono le vulnerabilità sfruttate nei PDF dannosi.
    • Fidarsi del proprio istinto. Se un PDF sembra troppo bello per essere vero, presenta una formattazione insolita, errori di battitura o richiede credenziali, è probabile che si tratti di una trappola.
    Share.

    LineaEDP è parte di BitMAT Edizioni, una casa editrice che ha sede a Milano con copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.

    Correlati