PDF-Attacke: Dokument versteckt Malware durch eine Kompressionsfunktion

Über eine Sicherheitslücke im Adobe Acrobat Reader sollen Benutzer-systeme mit Schadsoftware infiziert werden

(09.06.09) - Von den Analysesystemen der G Data Security Labs konnten in den letzten Tagen mehrere hundert Domains mit anrüchigen Namen identifiziert werden, die über eine Sicherheits-lücke im Adobe Acrobat Reader Benutzersysteme mit Schadsoftware infizieren sollen. Die Bezeichnungen der Domains kombinieren beliebte "Schmuddelbegriffe", um Internetsurfer anzulocken, die nach Erwachseneninhalten im Netz suchen. Die Betreiber der schädlichen Seiten nutzen flankierend Methoden der sogenannten Suchmaschinenoptimierung, um eine bessere Platzierung in der Rangfolge von Suchmaschinenergebnissen zu erhalten.

Die Webseiten der Domains enthalten Inline-Frames, die auf ein schädliches PDF-Dokument eines chinesischen Malware-Verbreitungsservers verweisen und in der Standardkonfiguration verbreiteter Browser mit Acrobat-Plugin automatisch geladen werden, sobald ein Besucher die Seite aufruft.

So wie andere aktuelle Schädlinge, die Schwachstellen im PDF-Format ausnutzen, versteckt das Dokument seine schädlichen Funktionen durch eine Kompressionsfunktion.

Das entpackte Objekt enthält ein JavaScript, das zunächst einen sogenannten Heapspray ausführt, bei dem der Hauptspeicher der Anwendung mit dem auszuführenden Angriffscode gefüllt wird. Schließlich nutzt das Skript einen Pufferüberlauf in der Collab.getIcon()-Funktion aus, um den vorbereiteten Schadcode auszuführen (s. CVE-2009-0927).

Das PDF-Format erfreut sich dank mehrerer Schwachstellen im weitverbreiteten Adobe Reader in den letzten Monaten einer stark steigenden Beliebtheit als Infektionsvektor für Clientrechner bei Internetkriminellen. Der aktuelle Angriff demonstriert eindrucksvoll den Versuch der Angreifer, Internetsurfer durch vermeintlich pornografische Inhalte anzulocken und ihre Schadsoftware durch die Ausnutzung einer dieser Schwachstellen zu verbreiten. (G Data: ra)