Bei unseren IT-Sicherheitsschulungen machen wir immer wieder die Erfahrung, dass den Teilnehmern zwar hinlänglich bekannt ist, dass Word-Dokumente über Makros Schadcode nachladen und ausführen können, aber dass auch PDF-Dateien ausführbaren Code enthalten können wissen die wenigsten. Im Gegenteil man geht davon aus, dass von PDFs keine Gefahr ausgeht.

Vor gar nicht langer Zeit wurden vermehrt von Angriffswellen mit präparierten PDFs als E-Mail-Anhang berichtet. Öffnet man das PDF und ignoriert diverse Warnhinweise, fängt man sich den   Erpressungstrojaner Locky oder Jaff ein.

Das Ganze läuft so ab
Wenn der Empfänger das PDF öffnet, sieht er eine Textzeile mit dem Hinweis, dass er eine Datei mit der Endung .docm öffnen soll, was dann automatisch passiert. Dann erscheinen in Word, wie auch bei den "klassischen Makro-Viren", nacheinander mehrere Warnhinweise bez. enthaltener Makros, Viren etc. Werden die Warnhinweise missachtet und schliesslich der Ausführung von Makros zugestimmt, wird die sog. Payload, d.h. der Schadcode in Form von Locky oder Jaff nachgeladen und ausgeführt.

Code-Analyse der PDF-Datei
Bei Analyse des Codes der PDF-Datei mit dem Tool „PDF Stream Dumper“ sieht man dann als Bestätigung für die o.a. Ablaufbeschreibung ein eingebettetes JavaScript, das ein Datenobjekt mit der Endung .docm extrahiert und aufruft. Dabei handelt es sich um ein Word-Dokument mit Makros, die den Schadcode nachladen.

Fazit
Auch PDFs können Schadcode enthalten, deshalb sollte man nicht jedes per Mail erhaltene PDF einfach bedenkenlos öffnen.