Wybór plików PDF do przeprowadzania ataków był bardzo sprytnym zabiegiem, gdyż dokumenty te są popularne, a czytnik często nieaktualizowany. Jeszcze niedawno wykorzystywano powszechnie oprogramowanie tylko jednej firmy (Adobe), a czas od ujawnienia luki w bezpieczeństwie do aktualizacji czytnika był bardzo długi. Takie środowisko to wymarzony cel ataków.

Początkowo ataki wykorzystywały błędy programistyczne w implementacji czytnika PDF - najczęściej było to przepełnienie bufora. Gdy oprogramowanie antywirusowe zaczęło skutecznie usuwać to zagrożenie, przestępcy opracowali sposób zaciemniania kodu odpowiedzialnego za zarażanie systemów operacyjnych. Wykorzystali przy tym szczególną właściwość standardu PDF - rozmieszczenie elementów może być praktycznie dowolne, co bardzo utrudnia analizę antywirusową, a w samym pliku można osadzić obiekt binarny. Użycie kompresji strumienia (do czego można wykorzystać więcej niż jeden algorytm) i opracowanie funkcji zaciemniających kod JavaScript sprawiły, że analiza takiego specjalnie przygotowanego pliku PDF przez programy antywirusowe jest coraz trudniejsza. W ten sposób można zrealizować polimorficzne kodowanie zawartości, co od dawna utrudniało zadanie twórcom antywirusów.

W pewnych przypadkach do udanego ataku wystarczyło umieścić specjalnie przygotowany plik PDF na dysku lokalnym - infekcję przeprowadzano, wykorzystując poważny błąd w zabezpieczeniach Adobe Readera w połączeniu z pracą narzędzi indeksowania (patrz ramka).

Już nie tylko JavaScript

Obecnie atak taki nie wymaga żadnej luki w bezpieczeństwie czytnika. Wystarczy, by ściśle implementował wszystkie opcje standardu PDF, w tym tę, która odpowiada za uruchomienie zewnętrznego procesu. Skutkiem ataku jest uruchomienie obcego kodu, który zazwyczaj pobiera z przejętych serwerów pozostałe składniki złośliwego oprogramowania (pochodna technologii drive by download, wykorzystywanej od dwóch lat w masowych infekcjach). Tą drogą zaatakowano bardzo wiele stacji roboczych z systemem Windows, przy czym atak ten obchodzi zabezpieczenia DEP i ASLR. Skala ataków via PDF była na tyle duża, że opisano je w raporcie bezpieczeństwa za rok 2009, opublikowanym przez CERT Polska.

Adobe i Foxit na celowniku

Większość przeprowadzanych dotąd ataków kierowano przeciw czytnikowi Adobe Reader, ale rosnąca popularność konkurencyjnego, bardzo szybkiego oprogramowania Foxit Reader sprawia, że cyberprzestępcy przygotowali sposób przełamania zabezpieczeń także tej aplikacji. Początkowo wykorzystywano również JavaScript oraz przepełnienie bufora, ale bardzo dokładne rozpoznanie standardu PDF przyniosło nieoczekiwany zwrot w sposobach infekcji komputerów. Tym razem nie wykorzystuje się luki w implementacji standardu PDF, ale jedną z opcji tego standardu.