Falha do Foxit PDF Reader explorada por hackers para fornecer um arsenal diversificado de malware
Vários atores de ameaças estão aproveitando uma falha de design no Foxit PDF Reader para entregar uma variedade de malware, como Agent Tesla, AsyncRAT, DCRat, NanoCore RAT, NjRAT, Pony, Remcos RAT e XWorm.
“Esta exploração desencadeia avisos de segurança que podem enganar usuários desavisados para que executem comandos prejudiciais”, disse a Test Level em um relatório técnico. “Essa exploração tem sido usada por vários atores de ameaças, desde crimes eletrônicos até espionagem”.
Vale ressaltar que o Adobe Acrobat Reader – que é mais predominante em sandboxes ou soluções antivírus – não é suscetível a essa exploração específica, contribuindo assim para a baixa taxa de detecção da campanha.
O problema decorre do fato de que o aplicativo mostra “OK” como a opção padrão selecionada em um pop-up quando os usuários são solicitados a confiar no documento antes de ativar determinados recursos para evitar possíveis riscos de segurança.
Assim que o usuário clica em OK, é exibido um segundo pop-up avisando que o arquivo está prestes a executar comandos adicionais com a opção “Abrir” definida como padrão. O comando acionado é então usado para baixar e executar uma carga maliciosa hospedada na rede de distribuição de conteúdo (CDN) do Discord.
“Se houvesse alguma probability de o usuário alvo ler a primeira mensagem, a segunda seria ‘Acordado’ sem leitura”, disse o pesquisador de segurança Antonis Terefos.
“Este é o caso em que os atores da ameaça estão se aproveitando dessa lógica falha e do comportamento humano comum, que fornece como escolha padrão a mais ‘prejudicial’.”
A Test Level disse que identificou um documento PDF com tema militar que, quando aberto by way of Foxit PDF Reader, executou um comando para buscar um downloader que, por sua vez, recuperou dois executáveis para coletar e fazer add de dados, incluindo documentos, imagens, arquivos, e bancos de dados para um servidor de comando e controle (C2).
Uma análise mais aprofundada da cadeia de ataque revelou que o downloader também pode ser usado para descartar uma terceira carga capaz de capturar capturas de tela do host infectado, após as quais elas são carregadas no servidor C2.
A atividade, avaliada como voltada para espionagem, foi vinculada ao DoNot Workforce (também conhecido como APT-C-35 e Origami Elephant), citando sobreposições com táticas e técnicas previamente observadas associadas ao ator da ameaça.
Uma segunda instância que transforma a mesma técnica em arma emprega uma sequência de vários estágios para implantar um ladrão e dois módulos de mineração de criptomoeda, como XMRig e lolMiner. Curiosamente, alguns dos arquivos PDF com armadilhas são distribuídos by way of Fb.
O malware ladrão baseado em Python está equipado para roubar credenciais e cookies das vítimas dos navegadores Chrome e Edge, com os mineradores recuperados de um repositório Gitlab pertencente a um usuário chamado topworld20241. O repositório, criado em 17 de fevereiro de 2024, ainda está ativo no momento da escrita.
Em outro caso documentado pela empresa de segurança cibernética, o arquivo PDF funciona como um canal para recuperação do Discord CDN Clean-Grabber, um ladrão de informações de código aberto que está disponível no GitHub e que foi arquivado em 6 de agosto de 2023.
“Outro caso interessante ocorreu quando um PDF malicioso incluiu um hiperlink para um anexo hospedado no trello(.)com”, disse Terefos. “Ao baixar, revelou um arquivo PDF secundário contendo código malicioso, que tira vantagem disso
'exploração' de usuários do Foxit Reader.”
O caminho da infecção culmina na entrega do Remcos RAT, mas somente após progredir por uma série de etapas que envolvem o uso de arquivos LNK, aplicativo HTML (HTA) e scripts Visible Fundamental como etapas intermediárias.
O ator de ameaça por trás da campanha Remcos RAT, que atende pelo nome de Silentkillertv e afirma ser um hacker ético com mais de 22 anos de experiência, foi observado anunciando várias ferramentas maliciosas por meio de um canal dedicado do Telegram chamado Silent_Tools, incluindo criptografadores e explorações de PDF visando Leitor de PDF Foxit. O canal foi criado em 21 de abril de 2022.
A Test Level disse que também identificou serviços de criação de PDF baseados em .NET e Python, como Avict Softwares I Exploit PDF, PDF Exploit Builder 2023 e FuckCrypt, que foram usados para criar os arquivos PDF com malware. Diz-se que a equipe DoNot usou um construtor de PDF .NET disponível gratuitamente no GitHub.
Na verdade, o uso de Discord, Gitlab e Trello demonstra o abuso contínuo de websites legítimos por agentes de ameaças para se misturar ao tráfego regular da rede, evitar a detecção e distribuir malware. A Foxit reconheceu o problema e espera lançar uma correção na versão 2024 3. A versão atual é 2024.2.1.25153.
“Embora esta 'exploração' não se enquadre na definição clássica de desencadear atividades maliciosas, ela poderia ser categorizada com mais precisão como uma forma de 'phishing' ou manipulação dirigida aos usuários do Foxit PDF Reader, persuadindo-os a clicar habitualmente em 'OK' sem entender. os riscos potenciais envolvidos”, disse Terefos.
“O sucesso da infecção e a baixa taxa de detecção permitem que os PDFs sejam distribuídos através de muitas formas não tradicionais, como o Fb, sem serem interrompidos por quaisquer regras de detecção”.
