Os pesquisadores da Check Point Research (CPR), divisão de Inteligência de Ameaças da Check Point Software, identificaram o crescimento de ciberataques baseados no uso de documentos em PDF, representando 22% de todos os anexos maliciosos disseminados via e-mail. Esta informação é particularmente importante se levarmos em conta que mais de 400 bilhões de documentos PDFs foram abertos no ano passado, e 16 bilhões de documentos foram editados no Adobe Acrobat. Mais de 87% das organizações no mundo usam PDFs como um formato de arquivo padrão para comunicação corporativa, tornando-os meios ideais para atacantes esconderem códigos maliciosos. Os PDFs maliciosos têm sido uma porta de entrada preferida pelos cibercriminosos por anos, mas que, agora, se tornaram ainda mais populares.
Enquanto 68% dos ataques maliciosos chegam via e-mail, aqueles baseados em PDF já representam 22% de todos os anexos maliciosos. Isto os torna especialmente perigosos para empresas que compartilham grandes quantidades destes arquivos em suas operações diárias. Os cibercriminosos têm recorrido a técnicas sofisticadas para contornar sistemas de detecção das soluções de segurança, tornando estes ataques cada vez mais difíceis de serem identificados — e interrompidos. Os pesquisadores da Check Point Software monitoraram grandes quantidades de campanhas maliciosas que passaram despercebidas pelas soluções de segurança tradicionais, sem qualquer detecção registrada no VirusTotal ao longo do último ano.
“Os PDFs não são mais apenas documentos. Tornaram-se mecanismos de entrega para iludir e enganar usuários. Os PDFs são universalmente confiáveis, por isso são o disfarce perfeito para as ameaças cibernéticas modernas. À medida que os atacantes mudam suas táticas de exploração de vulnerabilidades para exploração da confiança humana, a única defesa eficaz é uma segurança preventiva que inspeciona cada arquivo em tempo real e uma proteção proativa baseada em IA que bloqueia PDFs maliciosos antes mesmo de chegarem à caixa de entrada de e-mails”, explica Matanya Moses, diretor de Proteção Cibernética da Check Point Research (CPR).
O motivo de os PDFs serem os “queridinhos” dos cibercriminosos
Os PDFs são arquivos bastante complexos. A especificação PDF, ISO 32000, tem quase 1.000 páginas e inclui inúmeras funcionalidades que podem ser exploradas para evasão. Essa complexidade abre caminho a diversos vetores de ataque que muitas soluções de segurança não conseguem detectar eficazmente.
Em muitos aspetos, os PDFs funcionam como testes CAPTCHA — fáceis para humanos, difíceis para sistemas automatizados. Esta combinação de simplicidade para o usuário e complexidade para os sistemas de segurança é precisamente o que os torna tão atrativos para os atacantes.
Nos últimos anos, os PDFs maliciosos tornaram-se mais sofisticados. Antigamente, os cibercriminosos exploravam vulnerabilidades conhecidas (CVEs) nos leitores de PDF. No entanto, como os leitores de PDF se tornaram mais seguros e são atualizados com frequência (especialmente os navegadores que agora abrem PDFs por padrão), esse método de ataque é menos confiável para campanhas em larga escala.
Os ataques com JavaScript embutido, embora ainda comuns, são cada vez menos frequentes. Estes são considerados “ruidosos” e mais fáceis de detectar. A CPR descobriu que muitos dos “exploits” baseados em JavaScript eram pouco confiáveis entre diferentes leitores, e muitas soluções de segurança já os detectam.
Sendo assim, os atacantes mudaram de tática. Em vez de explorarem falhas técnicas, estão agora apostando fortemente em engenharia social. Os PDFs são amplamente considerados arquivos seguros e confiáveis, o que os torna perfeitos para ataques de phishing. Estes arquivos podem conter links perigosos, código malicioso ou outros conteúdos prejudiciais, disfarçados de documentos legítimos — com maior probabilidade de enganar o usuário e de passar pelos filtros de segurança tradicionais.
Anatomia de um ataque com PDF
Uma das técnicas mais comuns observadas pela CPR são as campanhas baseadas em links. Nestes casos, o PDF contém um link para um site de phishing ou para baixar arquivos maliciosos. Esse link vem frequentemente acompanhado de uma imagem ou texto com o objetivo de convencer o usuário a clicar.
Estas imagens costumam imitar marcas reconhecidas — como Amazon, DocuSign ou Acrobat Reader —, dando ao documento um aspecto inofensivo. Como o atacante controla todos os elementos (link, texto e imagem), é fácil alterar rapidamente qualquer parte, tornando estas campanhas difíceis de serem detectadas com ferramentas baseadas em reputação ou assinaturas estáticas.
Embora envolvam interação humana, isso é uma vantagem para os atacantes, já que as sandboxes e os sistemas automatizados têm dificuldade em lidar com decisões humanas.
Técnicas de evasão dos cibercriminosos
Os atacantes estão constantemente se adaptando para evitar a detecção. Estas técnicas revelam um profundo conhecimento das ferramentas de segurança e são muitas vezes desenhadas para contornar soluções específicas.
Técnicas de Evasão de URLs
A forma mais óbvia de identificar que um PDF possa ser malicioso é por meio da verificação da hiperligação que contém. Para evitar a detecção, os agentes de ameaças utilizam uma série de técnicas de evasão de URL, tais como:
Redirecionamentos benignos: Os atacantes utilizam serviços como Bing, LinkedIn ou Google AMP para ocultar o destino final, aproveitando o fato de estes domínios estarem muitas vezes em listas brancas.
QR Codes: Incorporam códigos QR no PDF, encorajando o usuário a usar o celular, o que contorna os scanners de URLs tradicionais.
Chamadas telefônicas: Alguns ataques incentivam o usuário a ligar para um número, eliminando a necessidade de link, embora seja exigido um maior envolvimento humano.
Evasão à análise estática
A complexidade da estrutura de um arquivo PDF obriga muitas ferramentas de segurança a utilizarem o princípio de análise estática para identificar conteúdos maliciosos nos mesmos. Tal processo obriga os atacantes a ofuscarem o conteúdo do arquivo, dificultando essa mesma análise.
Estes utilizam anotações e objetos indiretos codificados de forma pouco comum, e aproveitam diferenças na forma como os leitores de PDF interpretam estas estruturas, fazendo com que o conteúdo malicioso passe despercebido.
Ofuscação de arquivos
Usam técnicas como encriptação, filtros e estruturações complexas para esconder as intenções reais. Muitos leitores de PDF priorizam a capacidade de abrir arquivos que aparentem estar corrompidos ou suspeitos, o que permite que documentos perigosos sejam abertos sem gerar alertas.
Evasão a sistemas de Machine Learning
À medida que as ferramentas de segurança estão cada vez mais dependentes de sistemas de Machine Learning (ML), os atacantes têm procurado maneiras de iludir esses sistemas. A solução mais utilizada é a aplicação de texto em imagens, o que obriga os sistemas de segurança a usar OCR (Reconhecimento Óptico de Caracteres), o que introduz erros e atrasos.
Outra solução utilizada passa pela aplicação de texto invisível ou minúsculo, como forma de enganar modelos de Processamento de Linguagem Natural (NLP), dificultando assim a compreensão do conteúdo real do documento.
Como se proteger de ataques baseados em PDF
As soluções Check Point Threat Emulation e Harmony Endpoint oferecem uma proteção avançada contra diferentes vetores de ataque, arquivos e sistemas operacionais, incluindo estes que já foram aqui mencionados.
Mas existem boas práticas essenciais que todos devem seguir para reduzir o risco:
Verificar sempre o remetente
Mesmo que o PDF pareça legítimo, confirmar o endereço de e-mail. Os atacantes muitas vezes falsificam domínios de marcas conhecidas.
Desconfiar de anexos inesperados
Se o usuário não está esperando receber um PDF — especialmente se é solicitado que clique em um link, ou para digitalizar um QR Code ou ainda para fazer uma chamada — deve-se assumir que o PDF pode ser malicioso.
Passar o mouse sobre os links antes de clicar
Verifica a URL completo. Links encurtados ou redirecionamentos (Bing, AMP, LinkedIn) devem levantar suspeitas.
Usar um leitor de PDF seguro e atualizado
Evita abrir PDFs em software desatualizado ou desconhecido.
Desativar JavaScript no leitor de PDF
Se o leitor permite JavaScript, desative-o a não ser que seja absolutamente necessário.
Manter sistemas e software de segurança atualizados
Atualizações corrigem vulnerabilidades exploradas por PDFs maliciosos.
Confiar no instinto
Se algo parecer demasiado bom para ser verdade, tiver erros de ortografia estranhos ou pedir credenciais, provavelmente trata-se de uma armadilha para ciberataque.
