• Tweet

El truco consiste en involucrar un exploit común de Adobe Reader dentro de un archivo PDF que aparece ante el software antivirus como una imagen inofensiva.

Los criminales han comenzado a utilizar un filtro de imagen oscura para hacer los archivos PDF maliciosos casi invisibles para muchos programas antivirus, comenta la firma de seguridad checa Avast Software.

El truco se encuentra en el ocultamiento de un exploit común de Adobe Reader dentro de un archivo PDF (Portable Document Format) mediante la codificación de éste con el filtro JBIG2Decode, normalmente utilizado para minimizar el tamaño de archivos al incrustar imágenes monocromáticas TIFF (Tagged Image File Format) dentro de los PDFs.

Debido a que el contenido aparece ante el software antivirus como una imagen TIFF inofensiva de dos dimensiones, el exploit malicioso pasa desapercibido.

“¿Quién habría pensado que un algoritmo de imagen puro podría utilizarse como un filtro estándar sobre cualquier objeto que se quiera enviar-” comenta el analista de Avast, Jiri Sejtko, en un blog. “Y esa es la razón por la cual nuestro escáner no tuvo éxito en decodificar el contenido original – nosotros no esperábamos tal comportamiento”.

Parte del problema fue el alcance ofrecido por la especificación del PDF al utilizar filtros como JBIG2Decode en formas inusuales, e incluso para utilizar muchos de ellos a la vez en capas, comenta.

La vulnerabilidad de TIFF es el objetivo del CVE-2010-0188 desde febrero de 2010, el cual afecta Adobe Reader 9.3 o versiones anteriores ejecutándose en Windows, Mac y Unix. Las versiones actuales, Reader X 10.x,  no son afectadas, sin embargo algunos usuarios siguen usando las versiones anteriores.

Además, los investigadores de Avast creen que la misma técnica de filtrado JBIG2Decode está usándose para ocultar otros exploits, incluyendo, uno de la fuente TrueType desde septiembre de 2010 afecta a Reader 9.3.4 y se ejecuta en todas las plataformas.

“Hemos visto que este truco está usándose en un ataque dirigido, notamos que hasta ahora su uso se ha limitado a un número relativamente pequeño de ataques generales. Ésta es probablemente la razón por la cual nadie es capaz de detectarlo”, comenta Sejtko. Ahora, Avast ha actualizado su software para detectar el ataque JBIG2Decode.

Técnicas que enmascaran exploits de esta forma, permanecerán exigiendo a los scanners antivirus, pues se requieren que  sean detectados mediante el empleo de un algoritmo específico, más que a través de una simple firma.

Sejtko comenta que los investigadores de Avast discutirán el uso de filtros para ocultar exploits en el Caro 2011 Workshop que se celebrara en Praga el próximo 5 y 6 de mayo.