Des cybercriminels exploitent une nouvelle faille dans le format PDF qui contourne les fonctions de sécurité sandbox dans Adobe Reader X et XI pour installer des malwares sur des systèmes bancaires, ont signalé des chercheurs de l'entreprise de sécurité russe Group-IB. Cet « exploit » zero-day -qui utilise une vulnérabilité jusqu'alors inconnue et non patchée- a été intégré dans une version modifiée de la boîte à outils Blackhole, ont indiqué les chercheurs du Group-IB.

« Nous avons surveillé des communautés où se trouvent des informations sur l'attaque », a indiqué Andrey Komarov, responsable du département des projets internationaux de Group-IB et directeur technique de l'équipe du Computer Emergency Response (CERT-GIB). « La plupart de ces données se trouvent sur des forums privés de hackers russes et chinois. »

« L'attaque est vendue sur le marché noir pour environ 30 000 à  50 000  dollars et elle est actuellement utilisée dans le cadre d'attaques ciblées contre les clients des banques », a précisé Andrey  Komarov. « Cependant, en théorie, elle pourrait également être utilisée pour distribuer des menaces persistantes avancées (APT) qui sont généralement associées à des attaques de cyberespionage », a-t-il ajouté.

Cibler Adobe Reader via IE et Firefox

L'aspect le plus intéressant de cette attaque particulière, c'est qu'elle met en échec les fonctions de protection sandbox d'Adobe Reader X et XI (Protected Mode et Protected View) qui ont réussi à bloquer tous les attaques exécutant  les codes arbitraires PDF à ce jour.

En outre, cette attaque fonctionne même si le support Javascript est désactivé dans Adobe Reader. La grande majorité de piratages connus d'Adobe Reader font usage de code JavaScript incorporé dans les fichiers PDF malveillants, et ils ont donc besoin de soutien Javascript dans l'application pour être en mesure  de fonctionner. Cette attaque peut être utilisée pour cibler Adobe Reader via Internet Explorer et Mozilla Firefox, a prévenu Andrey Komarov. Cependant, l'attaque échoue dans Google Chrome, car ce dernier offre une protection supplémentaire pour Adobe Reader, a-t-il assuré.

Cette attaque est toutefois quelque peu limitée, car l'utilisateur doit fermer le navigateur après avoir chargé le fichier PDF malveillant pour que le code malveillant soit exécuté sur l'ordinateur. Group-IB a posté une vidéo sur YouTube montrant comment elle fonctionne dans Internet Explorer.