Sécurité IT : un malware exploite une faille des fichiers PDF

Les fichiers PDF sont une nouvelle fois la cible des pirates. Des chercheurs en sécurité informatique ont identifié des fichiers PDF, envoyés sous forme de pièces jointes par courrier électronique, qui encodent le code malveillant à l’intérieur d’un fichier image.

Plus inquiétant, cette astuce permettrait de passer outre la détection par les principaux antivirus du marché.

Déjà, en mars dernier, les chercheurs de Sophos et Avast ainsi que d’autres experts indépendants avaient remarqué que des fichiers PDF en circulation n’avaient pas été signalés comme étant malveillants, mais avaient la possibilité de compromettre un ordinateur lors de leur ouverture.

Comment repérer ces fichiers malveillants ? L’adresse d’expédition est souvent douteuse et les pièces jointes des courriels font croire à une preuve de réception d’une commande. Les pièces jointes elles-mêmes avaient des noms contenant le numéro d’ordre supposé.

Selon l’expert de Sophos Lab, Paul Baccas, l’infection s’effectue lors de l’ouverture d’un fichier PDF sous Adobe 8.1.1 ou Adobe 9.3. L’ordinateur compromis se connecte alors à un site distant et télécharge des logiciels malveillants (SpyEye, Zbot ou FakeAV).

Après analyse, les fichiers ont utilisé un nouveau mode opératoire pour ré-exploiter une faille que Adobe avait corrigé en février 2010.

Détail notable, selon Jiri Sejtko, un analyste d’Avast Software :  l’exploit est spécifique au lecteur PDF d’Adobe et ne fonctionne pas sur des plug-in comme ceux utilisés dans le navigateur Chrome.

C’est un bon signe pour Jiri Sejtko qui précise que Chrome demande généralement aux utilisateurs s’il doit ouvrir le fichier dans Acrobat Reader à défaut de pouvoir l’afficher correctement.

« De nos jours, de nombreux utilisateurs seraient probablement tentés de dire oui, ce qui les rend vulnérables » , explique le chercheur.

Comme les spécifications du format PDF permettant de créer des fichiers intégrant plusieurs couches (filtres), les auteurs de logiciels malveillants peuvent aisément créer des fichiers piégés qui seront très difficiles à détecter par les scanners des antivirus du marché.

Les utilisateurs des versions obsolètes d’Acrobat Reader demeurent vulnérables et sont invités à passer à la toute dernière version pour ne pas prendre le risque d’une infection.

Recent Posts

PC Copilot+ : avec Arm ou x86 ?

Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…

2 semaines ago

Copilot+ : une sélection de PC convertibles

Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…

3 semaines ago

Avec Gemini intégré à Google Workspace, les prix s’envolent

Les fonctionnalités de Gemini sont intégrées dans la suite bureautique Google Workspace. Conséquence : les…

4 semaines ago

PC Copilot+ : c’est parti pour la transformation du parc

Au CES 2025, les principaux constructeurs ont annoncé l'arrivée des ordinateurs de bureau dotés de…

1 mois ago

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 mois ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

2 mois ago