I PDF rappresentano il 22% degli allegati email dannosi. La loro diffusione li rende obiettivi privilegiati per i cyber criminali, con tecniche sempre più sofisticate.
Autore: Redazione SecurityOpenLab
I PDF sono strumenti standard per le comunicazioni aziendali dell'87% delle organizzazioni. Secondo i dati inclusi in un nuovo studio di Check Point Research, nel corso dell'ultimo anno sono stati aperti oltre 400 miliardi di PDF e modificati 16 miliardi di documenti con Adobe Acrobat. Proprio questa fiducia e diffusione rendono i PDF un obiettivo privilegiato per i cyber criminali, tanto che il 68% degli attacchi avviene tramite e-mail, e i PDF rappresentano il 22% di tutti gli allegati malevoli.
La ricerca di Check Point Research analizza le ragioni che rendono i PDF un vettore di attacco così efficace e cita espressamente la specifica tecnica ISO 32000 che definisce il formato PDF e che dettaglia una gamma di funzionalità e una complessità tale da aprire allo sfruttamento di numerosi vettori di attacco che spesso sfuggono alla detection da parte dei sistemi di sicurezza. I PDF, infatti, combinano grande semplicità d'uso per gli utenti con una complessità tecnica che li rende difficili da analizzare automaticamente, attuando in sostanza uno squilibrio che favorisce particolarmente gli attaccanti.
Negli ultimi anni, i metodi di attacco basati su PDF si sono evoluti. In passato, i criminali sfruttavano vulnerabilità note nei lettori PDF per eseguire exploit diretti. Tuttavia, con l'aumento della sicurezza nei software più diffusi e l'integrazione dei lettori PDF nei browser moderni, queste tecniche sono diventate meno affidabili per le campagne su larga scala. Di conseguenza, i cyber crimionali hanno spostato l’attenzione verso strategie più semplici ma altrettanto efficaci, come l'ingegneria sociale.
Un esempio comune riguarda l'uso di link malevoli all'interno dei PDF. Gli attaccanti inseriscono link a siti web dannosi o pagine di phishing all'interno del documento, spesso accompagnati da immagini o testi che imitano marchi noti come Amazon o DocuSign. Sfruttando la fiducia degli utenti e la falsa percezione di sicurezza che il PDF suscita negli utenti, ottengono una interazione che avvia la catena di attacco. Inoltre, la flessibilità del formato consente agli attaccanti di modificare il contenuto del file per aggirare i sistemi di sicurezza basati su firme statiche o reputazione degli URL.
Un'altra tecnica emergente è l'uso dei codici QR nei PDF. Gli attaccanti invitano le vittime a scansionare il codice, bypassando così i sistemi di protezione integrati nei sistemi di sicurezza dell’email. I cyber criminali sfruttano inoltre tecniche avanzate per eludere l'analisi statica dei file. Per esempio, offuscano il contenuto del PDF utilizzando la cifratura o filtri specifici che rendono difficile identificare comportamenti malevoli. Inoltre, sfruttano le differenze tra i vari lettori PDF per progettare file che sfuggono ai controlli automatizzati.
Un altro aspetto rilevante è l'adattamento degli attaccanti ai sistemi basati su machine learning. Per confondere i modelli, gli attaccanti incorporano testo nelle immagini o manipolano le immagini per ingannare il riconoscimento ottico dei caratteri e complicare il lavoro degli scanner automatizzati per la detection delle minacce nascoste nei PDF. Non meno importante, la maggior parte delle tecniche indicate richiede un'interazione umana: il clic su un link o la scansione di un codice QR, bypassando i meccanismi di sandbox o di analisi comportamentale.
Per mitigare i rischi legati agli attacchi che fanno uso di PDF, Check Point Research sottolinea l'importanza di adottare misure preventive mirate tra cui il controllo rigoroso degli indirizzi email dei mittenti, l'utilizzo di visualizzatori PDF sicuri e aggiornati, la disattivazione delle funzionalità JavaScript nei lettori PDF quando non strettamente necessarie. Inoltre, è fondamentale sensibilizzare gli utenti sui rischi associati agli allegati sospetti e promuovere buone pratiche come verificare sempre i link prima di cliccare.