Les fichiers PDF (Portable Document Format) d'Adobe sont très utilisés. Le site SecurityFocus.com (1) regroupait plus de 150 CVE (Common Vulnerabilities and Exposures) pour Acrobat Reader. — [SIM p79]

Les fichiers de type média sont souvent utilisés sans précautions.

La plupart des vulnérabilités du format PDF viennent du moteur JavaScript d'Acrobat Reader. Le format PDF permet d'inclure du code JavaScript, par exemple pour gérer les formulaires. Certaines administrations l'utilisent pour la gestion des dossiers.

pdf-parser.py est très utile pour analyser le code JavaScript d'un PDF. — https://blog.didierstevens.com/programs/pdf-tools/
SpiderMonkey permet de décoder le shellcode. — https://blog.didierstevens.com/programs/spidermonkey/

Souvent, dans le fichier (PDF ou autre), il n'y a qu'un “petit malware” (dropper) permettant de télécharger & installer le vrai malware.

.

Si le code est compliqué, il est obfusqué ! Danger !

.

(1) - SecurityFocus a été acheté par la société Symantec en 2002.

[SIM] — Sécurité informatique et Malwares - Analyse des menaces et mise en œuvre des contre-mesures — Paul Rascagnères - éd. ENI 2016