Az AppSuite PDF Editor programot a G DATA automatizált felismerőrendszere kéretlen programként megállította, mire a gyártó maga fordult a víruslaboratóriumunkhoz, hogy vegyük le a „hamis riasztást”. Az elemzés azonban feltárta, hogy a PDF-szerkesztő hátsó ajtót tartalmaz, amely a háttérben teljes hozzáférést biztosít a támadóknak.

Sokan értékelnek egy ingyenes .pdf szerkesztőt. Az AppSuite PDF Editor programot egy hét leforgása alatt több mint 28 000 alkalommal töltötték le a felhasználók különböző – hivatalosnak tűnő – weboldalakról. Ez így már messze nem egy elszigetelt próbálkozás, hanem egy széles körben terjesztett kártevőkampány. Az adat a G DATA víruslaboratóriumának saját telemetriájából származik, és jól mutatja, hogy milyen hatalmas elérésre képes egy hamis szoftver.

A hamis PDF-szerkesztő elektronikus telepítő fájl (MSI) formájában terjed, és a felhasználó ártalmatlannak érzékelheti, de a háttérben hátsó kaput nyit ki a gépen. A malware a letöltés után egy Electron-keretrendszerű alkalmazásként fut, JavaScript és WiX telepítő segítségével. Már a telepítés során felülírja rendszerindítási beállításokat, létrehoz ütemezett feladatokat (scheduler), majd bejelentkezik és kapcsolatot épít a C&C (command-and-control) szerverrel, amely az adott gépet egy parancsra végrehajtó eszközzé alakítja. Ez lehetővé teszi, hogy a támadók távoli utasításokat küldjenek, és akár adatokat lopjanak el.

Mindez arra figyelmeztet: a könnyen letölthető PDF-szerkesztők nem mindig ártalmatlanok, különösen, ha reklámokból vagy nem megbízható hirdetési felületeken jutsz el hozzájuk. Ezeket a kampányokat a kifinomult támadók tudatosan alakítják ki: profi honlapok, életszerű menük, hiteles tanúsítványok – mindez csapdának álcázva.

Hogyan védekezzünk?

• Csakis megbízható, hivatalos forrásból származó alkalmazást tölts le.
• A telepítés során mindig válaszd az “egyedi beállításokat” (Advanced), és nézd át, mit telepít a program.
• Használj biztonsági megoldásokat, amelyek viselkedés-alapú védelmet is kínálnak – ilyen a G DATA vírusvédelme is.
• Gyanú esetén lépj kapcsolatba a vírusirtó gyártójával, akik kielemezhetik az adott fájlt.

Ez az eset megmutatja, hogy az IT-biztonság ma már nem csupán a nagy rendszerek védelméről szól – egy egyszerű PDF-szerkesztő is lehet az első kapuja egy összetett kártevőnek. Az éberség, a tudatos forrásválasztás és a modern védelem együtt jelentik a legerősebb védelmet.

A PDF-szerkesztő teljes technikai analízise a G DATA angol nyelvű blogjában olvasható ezen a linken.