 |
| Imagem ilustrativa - Divulgação Check Point Software |
Essa tendência foi revelada pelos pesquisadores da
empresa ao apontarem que 68% dos ciberataques começam em e-mails e 22% de todos
os anexos de e-mails maliciosos agora estão sendo enviados no formato PDF
Os
pesquisadores da Check Point Research (CPR), divisão de Inteligência de Ameaças
da Check Point Software, identificaram o crescimento de
ciberataques baseados no uso de documentos em PDF, representando 22% de todos
os anexos maliciosos disseminados via e-mail.
Esta
informação é particularmente importante se levarmos em conta que mais de 400 bilhões de documentos PDFs foram abertos no
ano passado, e 16 bilhões de documentos foram editados no Adobe Acrobat. Mais
de 87% das organizações no mundo usam PDFs como um formato de arquivo padrão
para comunicação corporativa, tornando-os meios ideais para atacantes
esconderem códigos maliciosos. Os PDFs maliciosos têm sido uma porta de entrada
preferida pelos cibercriminosos por anos, mas que, agora, se tornaram ainda
mais populares.
Enquanto
68% dos ataques maliciosos chegam via e-mail, aqueles baseados em PDF já
representam 22% de todos os anexos maliciosos. Isto os torna especialmente
perigosos para empresas que compartilham grandes quantidades destes arquivos em
suas operações diárias.
Os
cibercriminosos têm recorrido a técnicas sofisticadas para contornar sistemas
de detecção das soluções de segurança, tornando estes ataques cada vez mais
difíceis de serem identificados — e interrompidos. Os pesquisadores da Check
Point Software monitoraram grandes quantidades de campanhas maliciosas que
passaram despercebidas pelas soluções de segurança tradicionais, sem qualquer
detecção registrada no VirusTotal ao longo do último ano.
“Os
PDFs não são mais apenas documentos. Tornaram-se mecanismos de entrega para
iludir e enganar usuários. Os PDFs são universalmente confiáveis, por isso são o
disfarce perfeito para as ameaças cibernéticas modernas. À medida que os
atacantes mudam suas táticas de exploração de vulnerabilidades para exploração
da confiança humana, a única defesa eficaz é uma segurança preventiva que
inspeciona cada arquivo em tempo real e uma proteção proativa baseada em IA que
bloqueia PDFs maliciosos antes mesmo de chegarem à caixa de entrada de
e-mails”, explica Matanya Moses, diretor de Proteção Cibernética da Check Point
Research (CPR).
O
motivo de os PDFs serem os “queridinhos” dos cibercriminosos
Os
PDFs são arquivos bastante complexos. A especificação PDF, ISO 32000, tem quase 1.000 páginas e inclui inúmeras
funcionalidades que podem ser exploradas para evasão. Essa complexidade abre
caminho a diversos vetores de ataque que muitas soluções de segurança não
conseguem detectar eficazmente.
Em
muitos aspetos, os PDFs funcionam como testes CAPTCHA — fáceis para humanos,
difíceis para sistemas automatizados. Esta combinação de simplicidade para o
usuário e complexidade para os sistemas de segurança é precisamente o que os
torna tão atrativos para os atacantes.
Nos
últimos anos, os PDFs maliciosos tornaram-se mais sofisticados. Antigamente, os
cibercriminosos exploravam vulnerabilidades conhecidas (CVEs) nos leitores de
PDF. No entanto, como os leitores de PDF se tornaram mais seguros e são
atualizados com frequência (especialmente os navegadores que agora abrem PDFs
por padrão), esse método de ataque é menos confiável para campanhas em larga
escala.
Os
ataques com JavaScript embutido, embora ainda comuns, são cada vez menos
frequentes. Estes são considerados “ruidosos” e mais fáceis de detectar. A CPR
descobriu que muitos dos “exploits” baseados em JavaScript eram pouco
confiáveis entre diferentes leitores, e muitas soluções de segurança já os
detectam.
Sendo
assim, os atacantes mudaram de tática. Em vez de explorarem falhas técnicas,
estão agora apostando fortemente em engenharia social. Os PDFs são amplamente
considerados arquivos seguros e confiáveis, o que os torna perfeitos para
ataques de phishing. Estes arquivos podem conter links perigosos, código
malicioso ou outros conteúdos prejudiciais, disfarçados de documentos legítimos
— com maior probabilidade de enganar o usuário e de passar pelos filtros de
segurança tradicionais.
Anatomia
de um ataque com PDF
Uma
das técnicas mais comuns observadas pela CPR são as campanhas baseadas em
links. Nestes casos, o PDF contém um link para um site de phishing ou para
baixar arquivos maliciosos. Esse link vem frequentemente acompanhado de uma
imagem ou texto com o objetivo de convencer o usuário a clicar.
Estas
imagens costumam imitar marcas reconhecidas — como Amazon, DocuSign ou Acrobat
Reader —, dando ao documento um aspecto inofensivo. Como o atacante controla
todos os elementos (link, texto e imagem), é fácil alterar rapidamente qualquer
parte, tornando estas campanhas difíceis de serem detectadas com ferramentas
baseadas em reputação ou assinaturas estáticas.
Embora
envolvam interação humana, isso é uma vantagem para os atacantes, já que as
sandboxes e os sistemas automatizados têm dificuldade em lidar com decisões
humanas.
Técnicas de evasão dos cibercriminosos
Os atacantes estão constantemente se adaptando para evitar a
detecção. Estas técnicas revelam um profundo conhecimento das ferramentas de
segurança e são muitas vezes desenhadas para contornar soluções específicas.
Técnicas de Evasão de URLs
A forma mais óbvia de identificar que um PDF possa ser malicioso é
por meio da verificação da hiperligação que contém. Para evitar a detecção, os
agentes de ameaças utilizam uma série de técnicas de evasão de URL, tais como:
- Redirecionamentos benignos: Os
atacantes utilizam serviços como Bing, LinkedIn ou Google AMP para ocultar
o destino final, aproveitando o fato de estes domínios estarem muitas
vezes em listas brancas.
- QR Codes: Incorporam códigos QR no
PDF, encorajando o usuário a usar o celular, o que contorna os scanners de
URLs tradicionais.
- Chamadas telefônicas: Alguns
ataques incentivam o usuário a ligar para um número, eliminando a
necessidade de link, embora seja exigido um maior envolvimento humano.
Evasão à análise estática
A complexidade da estrutura de um arquivo PDF obriga muitas
ferramentas de segurança a utilizarem o princípio de análise estática para
identificar conteúdos maliciosos nos mesmos. Tal processo obriga os atacantes a
ofuscarem o conteúdo do arquivo, dificultando essa mesma análise.
Estes utilizam anotações e objetos indiretos codificados de forma
pouco comum, e aproveitam diferenças na forma como os leitores de PDF
interpretam estas estruturas, fazendo com que o conteúdo malicioso passe
despercebido.
Ofuscação de arquivos
Usam técnicas como encriptação, filtros e estruturações complexas
para esconder as intenções reais. Muitos leitores de PDF priorizam a capacidade
de abrir arquivos que aparentem estar corrompidos ou suspeitos, o que permite
que documentos perigosos sejam abertos sem gerar alertas.
Evasão a sistemas de Machine Learning
À medida que as ferramentas de segurança estão cada vez mais
dependentes de sistemas de Machine Learning (ML), os atacantes têm procurado
maneiras de iludir esses sistemas. A solução mais utilizada é a aplicação de
texto em imagens, o que obriga os sistemas de segurança a usar OCR
(Reconhecimento Óptico de Caracteres), o que introduz erros e atrasos.
Outra solução utilizada passa pela aplicação de texto invisível ou
minúsculo, como forma de enganar modelos de Processamento de Linguagem Natural
(NLP), dificultando assim a compreensão do conteúdo real do documento.
Como se proteger de ataques baseados em PDF
As soluções Check Point Threat Emulation e Harmony Endpoint oferecem
uma proteção avançada contra diferentes vetores de ataque, arquivos e sistemas
operacionais, incluindo estes que já foram aqui mencionados.
Mas existem boas práticas essenciais que todos devem seguir para
reduzir o risco:
- Verificar sempre o remetente
Mesmo que o PDF pareça legítimo, confirmar o endereço de e-mail.
Os atacantes muitas vezes falsificam domínios de marcas conhecidas.
- Desconfiar de anexos inesperados
Se o usuário não está esperando receber um PDF — especialmente se
é solicitado que clique em um link, ou para digitalizar um QR Code ou ainda
para fazer uma chamada — deve-se assumir que o PDF pode ser malicioso.
- Passar o mouse sobre os links antes de clicar
Verifica a URL completo. Links encurtados ou redirecionamentos
(Bing, AMP, LinkedIn) devem levantar suspeitas.
- Usar um leitor de PDF seguro e atualizado
Evita abrir PDFs em software desatualizado ou desconhecido.
- Desativar JavaScript no leitor de PDF
Se o leitor permite JavaScript, desative-o a não ser que seja
absolutamente necessário.
- Manter sistemas e software de segurança atualizados
Atualizações corrigem vulnerabilidades exploradas por PDFs
maliciosos.
Se algo parecer demasiado bom para ser verdade, tiver erros de
ortografia estranhos ou pedir credenciais, provavelmente trata-se de uma
armadilha para ciberataque.
Check Point Software Technologies Ltd
Check Point Software
LinkedIn
X
Facebook
Blog
YouTube
Aviso legal relativo a declarações prospectivas
Este comunicado de imprensa contém declarações prospectivas. As declarações prospectivas estão geralmente relacionadas com eventos futuros ou com o nosso desempenho financeiro ou operacional futuro. As declarações prospectivas neste comunicado de imprensa incluem, mas não estão limitadas a, declarações relacionadas com as nossas expectativas relativamente ao nosso crescimento futuro, à expansão da liderança da Check Point na indústria, ao aumento do valor para os acionistas e à entrega de uma plataforma de cibersegurança líder na indústria aos clientes em todo o mundo. As nossas expectativas e crenças relativamente a estes assuntos podem não se materializar, e os resultados ou eventos reais no futuro estão sujeitos a riscos e incertezas que podem fazer com que os resultados ou eventos reais difiram materialmente dos projetados. Estes riscos incluem a nossa capacidade de continuar a desenvolver capacidades e soluções de plataforma, a aceitação e aquisição por parte dos clientes das nossas soluções existentes e de novas soluções, a continuação do desenvolvimento do mercado da segurança informática/cibernética, a concorrência de outros produtos e serviços, e as condições gerais de mercado, políticas, econômicas e comerciais, incluindo atos de terrorismo ou guerra. As declarações prospectivas contidas neste comunicado de imprensa estão também sujeitas a outros riscos e incertezas, incluindo os descritos mais detalhadamente nos nossos registros na Securities and Exchange Commission (SEC), incluindo o nosso Relatório Anual no Formulário 20-F apresentado à Securities and Exchange Commission em 2 de abril de 2024. As declarações prospectivas neste comunicado de imprensa baseiam-se na informação disponível para a Check Point à data do presente documento, e a Check Point rejeita qualquer obrigação de atualizar quaisquer declarações prospectivas, exceto conforme exigido por lei.
