Zero-Day-Attacke: Mit dem PDF kommt die Malware

Schadcode wird mittels Social-Engineering-Techniken an den arglosen Nutzer gebracht

(27.09.10) - Der "Here You Have"-Wurm sorgte kürzlich für einigen Wirbel - vor allem wegen der angeblichen politischen Hintergründe des Cyber-Angriffs. Beinahe zeitgleich konnten die Experten von MessageLabs Intelligence, der Analyse-Abteilung von Symantec Hosted Services, eine aufwändige Attacke gegen PDF-Nutzer abfangen.

Der Zero-Day-Angriff fand weniger Beachtung, ist aber ein gutes Beispiel für den Aufbau, den solche gezielten Aktionen inzwischen häufig haben: Komplexer, intelligent programmierter Schadcode wird auf eine Sicherheitslücke in einer Anwendung zugeschnitten und mittels Social-Engineering-Techniken an den arglosen Nutzer gebracht.

In diesem Fall erreichten Mails mit angehängten PDF-Dateien die Postfächer. Die Nachrichten versprachen kostenlose Golf-Kurse, hochwertige Reisen nach China oder die Teilnahme an einer Experten-Runde zu politischen Themen. Ziel war immer, den Nutzer zum Öffnen des Anhangs zu bewegen. Einmal angeklickt, prüfte das JavaScript-basierte Schadprogramm zunächst, welche Version des PDF-Readers installiert war. Anschließend wählte das Programm automatisch die passende Seite im PDF-Dokument aus. Dort waren manipulierte True Type Fonts eingebettet.

Im Quellcode dieser normalerweise harmlosen Schriftart-Dateien hatten die Angreifer ihre eigenen Programmroutinen versteckt und sie damit zu Malware umfunktioniert. Passte keine der integrierten Varianten zur vorhandenen Version des Readers, forderte das Angriffsprogramm den Nutzer auf, ein Update zu installieren.

Einmal mehr zeigt sich hier, dass Dateien im PDF-Format in Kombination mit JavaScript zu besonders tückischen Waffen für Cybergangster werden. Besonders die Möglichkeit, aktiven Code in die Dokumente einzubetten, macht das Format bei Kriminellen beliebt. (Symantec: ma)