PRAGA, República Tcheca, 26 de abril de 2011 - Os cibercriminosos estão fazendo uso do filtro de imagem para codificar malwares em arquivos Adobe PDF, relata o Laboratório de vírus da avast!
O truque usa o filtro JBIG2Decode que é projetado especificamente para a codificação de imagens monocromáticas. As especificações do filtro JBIG2Decode permitem que o arquivo PDF malicioso não seja reconhecido pela maioria dos antivírus. O conteúdo codificado é o bem conhecido CVE-2010-0188, uma vulnerabilidade TIFF no Adobe Reader.
"O algoritmo JBIG2 funciona aqui porque todos os dados - texto ou binário - podem ser declarado como uma imagem monocromática de duas dimensões", disse Jiri Sejtko, analista de vírus sênior. "Quem teria pensado que um algoritmo de imagem pode ser usado como um filtro padrão em qualquer objeto de fluxo? Nós não esperava tal comportamento."
A definição do objeto referenciado a partir da matriz XFA mostra que o objeto não é um dado de imagem e tem 3125 bytes. Dois filtros - FlateDecode como o primeiro e JBIG2Decode como o segundo - devem ser usados para decodificar os dados originais.
"Nós vimos este truque sujo sendo usado em um ataque com alvo específico e o vimos sendo utilizado até agora em um número relativamente pequeno de ataques em geral. Isso é provavelmente porque ninguém é capaz de detectá-lo ", acrescentou.
A vulnerabilidade é corrigida nas versões atuais do Adobe Reader, apenas as versões mais antigas do programa são afetadas. "Esta é outra razão para manter o seu Adobe atualizado", disse Sejtko.