Les fichiers PDF sont une nouvelle fois la cible des pirates. Des chercheurs en sécurité informatique ont identifié des fichiers PDF, envoyés sous forme de pièces jointes par courrier électronique, qui encodent le code malveillant à l’intérieur d’un fichier image.
Plus inquiétant, cette astuce permettrait de passer outre la détection par les principaux antivirus du marché.
Déjà, en mars dernier, les chercheurs de Sophos et Avast ainsi que d’autres experts indépendants avaient remarqué que des fichiers PDF en circulation n’avaient pas été signalés comme étant malveillants, mais avaient la possibilité de compromettre un ordinateur lors de leur ouverture.
Comment repérer ces fichiers malveillants ? L’adresse d’expédition est souvent douteuse et les pièces jointes des courriels font croire à une preuve de réception d’une commande. Les pièces jointes elles-mêmes avaient des noms contenant le numéro d’ordre supposé.
Selon l’expert de Sophos Lab, Paul Baccas, l’infection s’effectue lors de l’ouverture d’un fichier PDF sous Adobe 8.1.1 ou Adobe 9.3. L’ordinateur compromis se connecte alors à un site distant et télécharge des logiciels malveillants (SpyEye, Zbot ou FakeAV).
Après analyse, les fichiers ont utilisé un nouveau mode opératoire pour ré-exploiter une faille que Adobe avait corrigé en février 2010.
Détail notable, selon Jiri Sejtko, un analyste d’Avast Software : l’exploit est spécifique au lecteur PDF d’Adobe et ne fonctionne pas sur des plug-in comme ceux utilisés dans le navigateur Chrome.
C’est un bon signe pour Jiri Sejtko qui précise que Chrome demande généralement aux utilisateurs s’il doit ouvrir le fichier dans Acrobat Reader à défaut de pouvoir l’afficher correctement.
« De nos jours, de nombreux utilisateurs seraient probablement tentés de dire oui, ce qui les rend vulnérables » , explique le chercheur.
Comme les spécifications du format PDF permettant de créer des fichiers intégrant plusieurs couches (filtres), les auteurs de logiciels malveillants peuvent aisément créer des fichiers piégés qui seront très difficiles à détecter par les scanners des antivirus du marché.
Les utilisateurs des versions obsolètes d’Acrobat Reader demeurent vulnérables et sont invités à passer à la toute dernière version pour ne pas prendre le risque d’une infection.
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…