Flera säkerhetsföretag varnar för en ny våg av attacker som försöker lura ovetandes användare att öppna pdf-filer som innehåller skadlig kod. Attackvågen försöker utnyttja ett tidigare känt problem i Adobes pdf-format.

Problemet är inte en bugg utan möjligheten att köra externa program från en pdf-fil. En pdf-fil kan köra externa program men ska alltid varna användaren först. Hackare har nu kommit på en metod som ändrar varningsmeddelandet som visas, vilket gör det enklare att lura användaren att klicka på varningsmeddelandet.

I den senaste vågen av attacker får användarna ett e-postmeddelande med rubriken ”setting for your mailbox has changed”. Användaren uppmanas öppna pdf-filen för vidare instruktioner om de nya inställningarna för användaren e-postkonto.

Öppnar användaren pdf-filen och godkänner körningen av ett program så kommer masken Auraax, även kallad Emold, att installeras på datorn. Masken kan endast smitta datorer som kör Windows.

En detaljerad beskrivning av hur attacken ser ut finns på säkerhetsforskaren Mary Grace Gabriels blogg.

Eftersom problemet inte beror på en bugg så uppmanar säkerhetsföretag användare att vara uppmärksamma på pdf-filer som visar dialogrutor när de öppnas, och att aldrig godkänna att ett program körs från en pdf-fil.

Adobe uppger att företaget håller på att titta på en lösning som ska göra det svårare att lura användare att godkänna att program körs inuti pdf-filer. Funktionen kan inte tas bort helt då den ingår i pdf-standarden.

IDG News