Sécurité IT : un malware exploite une faille des fichiers PDF
Selon des chercheurs en sécurité, des fichiers PDF malveillants utilisent un nouveau mode opératoire pour éviter leur détection par presque tous les antivirus du marché.
Les fichiers PDF sont une nouvelle fois la cible des pirates. Des chercheurs en sécurité informatique ont identifié des fichiers PDF, envoyés sous forme de pièces jointes par courrier électronique, qui encodent le code malveillant à l’intérieur d’un fichier image.
Plus inquiétant, cette astuce permettrait de passer outre la détection par les principaux antivirus du marché.
Déjà, en mars dernier, les chercheurs de Sophos et Avast ainsi que d’autres experts indépendants avaient remarqué que des fichiers PDF en circulation n’avaient pas été signalés comme étant malveillants, mais avaient la possibilité de compromettre un ordinateur lors de leur ouverture.
Comment repérer ces fichiers malveillants ? L’adresse d’expédition est souvent douteuse et les pièces jointes des courriels font croire à une preuve de réception d’une commande. Les pièces jointes elles-mêmes avaient des noms contenant le numéro d’ordre supposé.
Selon l’expert de Sophos Lab, Paul Baccas, l’infection s’effectue lors de l’ouverture d’un fichier PDF sous Adobe 8.1.1 ou Adobe 9.3. L’ordinateur compromis se connecte alors à un site distant et télécharge des logiciels malveillants (SpyEye, Zbot ou FakeAV).
Après analyse, les fichiers ont utilisé un nouveau mode opératoire pour ré-exploiter une faille que Adobe avait corrigé en février 2010.
Détail notable, selon Jiri Sejtko, un analyste d’Avast Software : l’exploit est spécifique au lecteur PDF d’Adobe et ne fonctionne pas sur des plug-in comme ceux utilisés dans le navigateur Chrome.
C’est un bon signe pour Jiri Sejtko qui précise que Chrome demande généralement aux utilisateurs s’il doit ouvrir le fichier dans Acrobat Reader à défaut de pouvoir l’afficher correctement.
« De nos jours, de nombreux utilisateurs seraient probablement tentés de dire oui, ce qui les rend vulnérables » , explique le chercheur.
Comme les spécifications du format PDF permettant de créer des fichiers intégrant plusieurs couches (filtres), les auteurs de logiciels malveillants peuvent aisément créer des fichiers piégés qui seront très difficiles à détecter par les scanners des antivirus du marché.
Les utilisateurs des versions obsolètes d’Acrobat Reader demeurent vulnérables et sont invités à passer à la toute dernière version pour ne pas prendre le risque d’une infection.