Если вы думаете, что PDF файлы безопасны для открытия, то вы ошибаетесь. Существует киберугроза, которая использует их в качестве ловушки для распространения своего кода.
Эта угроза называется Qbot - троянский вирус, который специализируется на краже банковских учетных данных, личной информации и заражении других компьютеров в локальной сети. Он действует с 2008 года и постоянно меняет свои тактики и техники для обхода антивирусной защиты.
Одна из таких техник заключается в использовании PDF и WSF файлов, которые отправляются жертвам по электронной почте. PDF файл выглядит как невинный документ с текстом и гиперссылкой на другой файл.
Эта гиперссылка указывает на WSF файл, который является скриптом на языке JScript. Скрипт отвечает за загрузку и исполнение основного компонента Qbot с контролируемого злоумышленниками сервера. Таким образом, злоумышленники вводят в заблуждение пользователей и антивирусы, которые считают PDF файлы безвредными.
Qbot обладает продвинутыми функциями для сбора информации, уклонения от обнаружения, повышения привилегий, установки постоянства и связи с командным сервером. Командный сервер может обновлять Qbot, загружать новые адреса, запускать файлы без записи на диск и выполнять команды оболочки.