Untersuchung: PDF wird zur Seuchenschleuder
Mit über 400 Milliarden geöffneten PDF-Dateien im letzten Jahr nutzen Cyber-Kriminelle das Format gezielt für versteckten Schadcode. Laut IT-Forensik erfolgen 68 Prozent aller Angriffe per E-Mail – davon enthalten 22 Prozent bösartige PDF-Anhänge.
Das populäre PDF-Format entwickelt sich zunehmend zum bevorzugten Werkzeug von Cyber-Kriminellen. Laut einer Analyse von Check Point Research (CPR) setzen Angreifer verstärkt auf PDF-Dateien, um klassische Sicherheitssysteme zu umgehen. Dabei greifen sie nicht mehr nur auf technische Schwachstellen zurück, sondern kombinieren gezielt Social Engineering mit PDF-Phishing.
PDF: Das trojanische Pferd im Posteingang
PDF-Dateien gelten als vertrauenswürdig und werden von E-Mail-Sicherheitslösungen nur selten blockiert. Diese positive Wahrnehmung machen sich Angreifer zunutze: Sie betten schädliche Links oder verseuchte Inhalte in täuschend echte Dokumente ein, die häufig mit Logos bekannter Marken wie Amazon, DocuSign oder Acrobat Reader gestaltet sind. Das Ziel ist klar – die Empfänger sollen die Dateien öffnen und unbedacht auf enthaltene Links klicken.
Diese Methode ist besonders tückisch, da sie schwer zu erkennen ist. Angreifer kontrollieren sämtliche Elemente des Dokuments – von Text über Bilder bis hin zu Links – und passen sie flexibel an, um Filtermechanismen zu unterlaufen. Viele Schutzsysteme verlassen sich auf statische Signaturen oder Domain-Reputation, die bei solchen dynamischen Angriffen versagen. Zudem sind automatisierte Erkennungssysteme oft überfordert, wenn menschliche Entscheidungen gefordert sind – etwa das Einschätzen der Echtheit eines Dokuments.
Die zunehmende Komplexität des PDF-Formats spielt den Angreifern zusätzlich in die Karten. Die umfangreiche Spezifikation ermöglicht vielfältige Funktionen, die sich leicht für Umgehungsversuche nutzen lassen. Check Point Research berichtet von einer wachsenden Zahl an PDF-basierten Angriffskampagnen, die unentdeckt bleiben – selbst von etablierten Sicherheitsanbietern und Plattformen wie VirusTotal.
Die Verschleierungstechniken der Hacker
Ein offensichtliches Warnsignal für eine bösartige PDF-Datei ist ein enthaltener Link. Um der Entdeckung zu entgehen, setzen Cyber-Kriminelle auf verschiedene Umgehungstechniken:
- Umleitungsdienste: Häufig nutzen Angreifer seriöse Dienste wie Bing, LinkedIn oder Googles AMP-Links, um das eigentliche Ziel zu verschleiern. Da diese Dienste oft auf Whitelists stehen, erkennen viele Sicherheitssysteme die Bedrohung nicht.
- QR-Codes: Statt sichtbarer Links betten Hacker QR-Codes in PDFs ein, die Nutzer mit dem Smartphone scannen sollen. Diese Methode umgeht URL-Scanner vollständig und erschwert die Erkennung zusätzlich.
- Telefonbetrug: Manche Kampagnen verzichten ganz auf Links. Stattdessen werden Nutzer per Social Engineering dazu gebracht, eine Telefonnummer anzurufen – eine Methode, die keine technischen Warnsignale erzeugt, aber auf menschliche Interaktion setzt.
Umgehung statischer Analyse und maschinellen Lernens
PDFs haben eine komplexe Struktur, die von vielen Sicherheitstools nur oberflächlich erfasst wird. PDF-Dateien enthalten etwa oft sogenannte Anmerkungen, die zum Beispiel dafür sorgen, dass bestimmte Bereiche anklickbar sind – etwa Links. Diese Anmerkungen können jedoch so verschlüsselt oder verschachtelt sein, dass automatische Sicherheitssysteme sie nicht richtig auswerten können. Angreifer nutzen sogar kleine Unterschiede aus, wie verschiedene PDF-Programme diese Anmerkungen interpretieren. Dadurch bleibt der bösartige Inhalt für viele Analysetools unsichtbar.
Hinzu kommt: PDF-Dateien lassen sich stark verschleiern. Angreifer setzen dabei auf Techniken wie Verschlüsselung, Filter oder indirekte Objekte, um gefährlichen Code zu verstecken. Obwohl solche Dateien manchmal fehlerhaft oder ungewöhnlich wirken, öffnen viele PDF-Reader sie trotzdem problemlos. Das liegt daran, dass diese Programme oft so entwickelt sind, dass sie möglichst viele Dokumente anzeigen können – auch wenn sie nicht ganz den offiziellen PDF-Standards entsprechen. Sicherheitssysteme hingegen erkennen solche versteckten Gefahren häufig nicht.
Auch maschinelles Lernen lässt sich umgehen: Eine häufige Methode von Angreifern besteht darin, Text nicht im üblichen Format, sondern als Bild in die PDF-Datei einzubetten. Dadurch können viele Sicherheitssysteme den Inhalt nicht direkt lesen und müssen auf optische Zeichenerkennung (OCR) zurückgreifen, um den Text zu erkennen. Diese Technik ist jedoch fehleranfällig und kann leicht manipuliert werden – zum Beispiel durch verschwommene Bilder oder leicht veränderte Buchstaben, die die Erkennung zusätzlich erschweren.
Zudem fügen Angreifer oft unsichtbaren oder extrem kleinen Text in das Dokument ein. Dieser Trick kann automatische Sprachmodelle (Natural Language Processing) verwirren, die sonst den Inhalt analysieren und bewerten würden. So bleibt die tatsächliche Absicht des Dokuments für viele Sicherheitssysteme verborgen.
Empfohlene Schutzmaßnahmen
CPR empfiehlt unter anderem folgende Maßnahmen, um sich vor PDF-basierten Angriffen zu schützen:
- Absender prüfen: Auch scheinbar seriöse PDFs können täuschen. Immer die E-Mail-Adresse genau ansehen.
- Misstrauen bei Anhängen: Unerwartete PDFs, vor allem mit Links, QR-Codes oder Telefonnummern, lieber nicht öffnen.
- Link überprüfen: Vor dem Klicken den Mauszeiger über den Link bewegen und die Zieladresse prüfen – Vorsicht bei Weiterleitungsdiensten.
- Sicheren PDF-Viewer nutzen: Nur aktuelle und vertrauenswürdige Programme verwenden – keine veraltete oder unbekannte Software.
- JavaScript deaktivieren: Falls möglich, JavaScript im PDF-Reader ausschalten, um Skript-Angriffe zu verhindern.
Weitere Infos (in Englisch) in diesem Blogbeitrag.
