PDF-файлы стали неотъемлемой частью нашей цифровой жизни, как на работе, так и дома. Они отлично работают на разных операционных системах и устройствах, их легко создавать и отправлять. Каждый день через почту и мессенджеры летают сотни PDF-файлов (Portable Document Format), и, скорее всего, сегодня вы уже открыли такой, даже не задумываясь.

Однако именно это делает PDF отличной маскировкой для всяких угроз. На первый взгляд, PDF-файлы кажутся абсолютно безобидными. Без специальной подготовки зараженный вредоносным ПО PDF или другой файл под видом PDF ничем не отличается от обычного счета, резюме или госуслуги.

Исследователи безопасности всё чаще замечают PDF-файлы в массовых кампаниях социальной инженерии, а также в операциях APT-групп и даже в сложных атаках с использованием уязвимостей нулевого дня. Недавние данные ESET подтверждают, что PDF входит в топ файловых типов, используемых в злонамеренных кампаниях.

Рисунок 1. Топ вредоносных вложений в электронной почте
Рисунок 1. Топ вредоносных вложений в электронной почте (источник: ESET Threat Report H1 2025)

Волк в овечьей шкуре

PDF-файлы с подвохом обычно приходят как вложения в электронные письма или ссылки в фишинговых сообщениях, которые заставляют жертву действовать. Как это часто бывает в социальной инженерии, сообщения тщательно продумываются, чтобы вызвать эмоции: срочность (например, «последнее уведомление»), страх («учетная запись заблокирована») или любопытство («доступны результаты теста»). Конечная цель — заставить вас потерять бдительность и под давлением («оплатите сейчас», «проверьте немедленно») заставить открыть файл или кликнуть по ссылке.

Техники атак бывают разные, и за годы они включали:

  • Встроенные скрипты, которые запускаются при открытии файла, позволяя злоумышленникам выполнять различные действия и разворачивать дополнительные полезные нагрузки. JavaScript в PDF может выполнять легитимные задачи, например, создавать интерактивные формы и автоматизировать процессы, но он также используется злоумышленниками для скачивания или выполнения кода.
  • Скрытые или вредоносные ссылки: Ссылки в PDF могут перенаправлять вас на страницы для кражи учетных данных или предлагать скачать вредоносный ZIP-архив или исполняемый файл.
  • Использование уязвимостей в программах для чтения PDF: Неправильно сформированные объекты или специально подготовленный контент могут использовать ошибки в уязвимых версиях популярных программ для чтения PDF и привести к выполнению кода, как это было в случае с уязвимостью, затронувшей Adobe Reader и задокументированной исследователями ESET.
  • Файлы, маскирующиеся под PDF, но на самом деле являющиеся скриптами, исполняемыми файлами или даже вредоносными файлами Microsoft Office, среди прочих. При этом их реальное расширение может быть скрыто. Вы можете увидеть файл «invoice.pdf», но при клике на него фактически запустится исполняемый файл.

Кстати, в начале этого года мы писали о кампании, которая распространяла банковский троян Grandoreiro и начиналась с письма, призывающего жертву открыть документ, якобы в формате PDF. На самом деле это был ZIP-архив, содержащий, среди прочего, VBScript-файл, который запускал Grandoreiro на устройстве и в итоге давал преступникам доступ к банковским данным жертвы.

pdfs-malware-detectar-riesgo.afip
Рисунок 2. Фишинговое письмо, выдающее себя за аргентинское государственное агентство, со ссылкой, ведущей на файл, который выглядит как PDF
pdfs-malware-detectar-riesgo
Рисунок 3. Сайт, на который вас перенаправляют после клика по ссылке на Рисунке 2

Как распознать подозрительный PDF

Так какие же «красные флажки» должны вызвать у вас повышенную бдительность?

  1. Файл имеет обманчивое видимое имя или двойное расширение. Это касается имен вроде invoice.pdf.exe или document.pdf.scr, особенно когда злоумышленники используют широкие сети, пытаясь запутать как можно больше людей. Такие файлы на самом деле не PDF — они просто замаскированы под них.
  2. Адрес электронной почты или имя отправителя не соответствуют информации в файле. Адрес отправителя отличается от организации, от имени которой якобы отправлен документ, или домен написан с ошибкой или выглядит подозрительно.
  3. PDF упакован в ZIP или RAR архив. PDF приходит внутри ZIP или RAR — это делается для того, чтобы обойти обнаружение почтовыми фильтрами.
  4. Все сообщение неожиданно или выглядит «не к месту». Задайте себе вопросы: я запрашивал этот файл? Знаю ли я отправителя? Имеет ли смысл, чтобы он мне его отправлял?
3_HSBC_themed_lure.png
Рисунок 4. Поддельное предложение о работе под видом PDF-файла (источник: ESET Research)

Что делать, если вы получили подозрительный PDF

Если PDF вызывает подозрения, примите следующие меры предосторожности:

  1. Не поддавайтесь искушению немедленно скачать или открыть файл. Поговорка «если сомневаешься — выбрось» здесь отлично подходит.
  2. Проверьте отправителя и контекст. Прежде чем открывать подозрительное вложение, свяжитесь с отправителем по другому каналу связи, например, по телефону, чтобы убедиться, что он действительно его отправил.
  3. Проверьте расширение и размер файла. Включите опцию «показывать расширения файлов» или аналогичную в вашей операционной системе и убедитесь, что файл действительно имеет расширение .pdf (а не .exe, например) и что его размер выглядит правдоподобно.
  4. Просканируйте файл с помощью вашего ПО безопасности (или загрузите его на VirusTotal для быстрой проверки).
  5. Открывайте с осторожностью. Если вам абсолютно необходимо открыть файл и вы приняли другие меры предосторожности, используйте обновленную программу для чтения PDF с включенной функцией песочницы или защищенного просмотра (например, Protected View от Adobe).

Что делать, если вы подозреваете, что открыли подозрительный PDF

  1. Отключитесь от интернета, чтобы снизить риск утечки данных или скачивания дополнительных вредоносных компонентов.
  2. Запустите полную проверку компьютера с помощью обновленного ПО безопасности. Если у вас его нет, выполните одноразовую проверку с помощью бесплатного сканера ESET.
  3. Проверьте запущенные процессы и сетевые соединения на наличие аномалий. Если у вас нет опыта, обратитесь к специалисту.
  4. Смените пароли, особенно для ваших финансовых и других важных аккаунтов, особенно если вы подозреваете, что ваши учетные данные могли быть украдены — но делайте это с другого устройства, не с того, на котором вы скачали PDF.
  5. Сообщите об инциденте вашей IT/службе безопасности (если вы открыли файл на рабочем компьютере).

В заключение

Эти проверенные правила помогут вам обезопасить себя от подозрительных PDF:

  • Если вы не ожидали получить файл, не открывайте его, по крайней мере, не проверив сначала, является ли он легитимным.
  • Узнайте, как распознавать фишинговые атаки.
  • Поскольку многие атаки используют известные уязвимости ПО, держите вашу операционную систему и все остальные программы, включая программы для чтения PDF, обновленными.
  • Включите Protected View или режим песочницы в выбранной программе для чтения PDF и рассмотрите возможность изменения или отключения настроек JavaScript в ней.
  • Используйте надежное, многоуровневое ПО безопасности на всех ваших устройствах.

Можно с уверенностью сказать, что киберпреступники будут продолжать использовать доверие, которое мы испытываем к PDF-файлам. Использование PDF в злонамеренных целях также напоминает о том, что угрозы безопасности обычно не маскируются под подозрительные файлы. Здесь также действует проверенное правило: относитесь с осторожностью к каждой неожиданной ссылке и вложению и полагайтесь на доверенные инструменты для защиты ваших данных и устройств.

Читать полный анализ на WeLiveSecurity →