Vários agentes de ameaças estão explorando uma falha de design no Foxit PDF Reader para entregar uma variedade de malware, como Agent Tesla, AsyncRAT, DCRat, NanoCore RAT, NjRAT, Pony, Remcos RAT e XWorm.
"Este exploit aciona alertas de segurança que podem enganar usuários desavisados a executar comandos prejudiciais", disse a Check Point em um relatório técnico.
Este exploit foi utilizado por vários agentes de ameaças, desde crimes eletrônicos até espionagem.
É importante notar que o Adobe Acrobat Reader – que é mais prevalente em sandboxes ou soluções antivírus – não é suscetível a este exploit específico, contribuindo assim para a baixa taxa de detecção da campanha.
O problema surge do fato de que a aplicação mostra "OK" como a opção selecionada por padrão em um pop-up quando os usuários são solicitados a confiar no documento antes de habilitar certas funcionalidades para evitar riscos de segurança potenciais.
Uma vez que o usuário clica em OK, ele é apresentado a um segundo pop-up avisando que o arquivo está prestes a executar comandos adicionais com a opção "Abrir" definida como padrão.
O comando acionado é então usado para baixar e executar um payload hospedada na rede de distribuição de conteúdo (CDN) do Discord.
"Se houvesse alguma chance de o usuário alvo ler a primeira mensagem, a segunda seria 'Concordada' sem leitura", disse o pesquisador de segurança Antonis Terefos.
Este é o caso que os Atacantes estão tirando vantagem desta lógica falha e do comportamento humano comum, que fornece como escolha padrão a mais 'prejudicial'.
A Check Point disse que identificou um documento PDF com tema militar que, quando aberto pelo Foxit PDF Reader, executava um comando para buscar um downloader que, por sua vez, recuperava dois executáveis para coletar e fazer upload de dados, incluindo documentos, imagens, arquivos de arquivo e bases de dados para um servidor de comando e controle (C2).
Análises adicionais da cadeia de ataque revelaram que o downloader também pode ser usado para soltar um terceiro payload que é capaz de capturar capturas de tela do host infectado, após o que elas são enviadas para o servidor C2.
A atividade, avaliada como voltada para espionagem, foi vinculada ao DoNot Team (também conhecido como APT-C-35 e Origami Elephant), citando sobreposições com táticas e técnicas previamente observadas associadas ao agente de ameaça.
Uma segunda instância explorando a mesma técnica emprega uma sequência em várias fases para implantar um stealer e dois módulos de mineradores de criptomoeda, como XMRig e lolMiner.
Curiosamente, alguns dos arquivos PDF armadilhados são distribuídos via Facebook.
O malware stealer baseado em Python está equipado para roubar credenciais e cookies das vítimas dos navegadores Chrome e Edge, com os mineradores recuperados de um repositório Gitlab pertencente a um usuário chamado topworld20241.
O repositório, criado em 17 de fevereiro de 2024, ainda está ativo até a redação deste texto.
Em outro caso documentado pela empresa de cibersegurança, o arquivo PDF atua como um meio para recuperar do CDN do Discord o Blank-Grabber, um stealer de informações de código aberto que está disponível no GitHub e que foi arquivado em 6 de agosto de 2023.
"Outro caso interessante ocorreu quando um PDF malicioso incluiu um hiperlink para um anexo hospedado em trello[.]com", disse Terefos.
Ao fazer o download, ele revelou um segundo arquivo PDF contendo código malicioso, que tira vantagem desta 'exploração' dos usuários do Foxit Reader.
O caminho da infecção culmina na entrega do Remcos RAT, mas apenas após avançar por uma série de etapas que envolvem o uso de arquivos LNK, Aplicação HTML (HTA) e scripts Visual Basic como etapas intermediárias.
O agente de ameaça por trás da campanha Remcos RAT, que atende pelo nome de silentkillertv e afirma ser um hacker ético com mais de 22 anos de experiência, foi observado anunciando várias ferramentas maliciosas por meio de um canal dedicado no Telegram chamado silent_tools, incluindo crypters e exploits de PDF visando o Foxit PDF Reader.
O canal foi criado em 21 de abril de 2022.
A Check Point disse que também identificou serviços de construção de PDF baseados em .NET e Python, como Avict Softwares I Exploit PDF, PDF Exploit Builder 2023 e FuckCrypt, que foram usados para criar os arquivos PDF carregados de malware.
Diz-se que o DoNot Team usou um construtor de PDF .NET disponível gratuitamente no GitHub.
Se alguma coisa, o uso do Discord, Gitlab e Trello demonstra o abuso contínuo de sites legítimos por agentes de ameaça para se misturar ao tráfego de rede normal, evadir detecção e distribuir malware.
A Foxit reconheceu o problema e espera lançar uma correção na versão 2024 3.
A versão atual é 2024.2.1.25153.
"Enquanto esse 'exploit' não se encaixa na definição clássica de disparar atividades maliciosas, ele poderia ser mais precisamente categorizado como uma forma de 'phishing' ou manipulação voltada aos usuários do Foxit PDF Reader, induzindo-os a clicar habitualmente em 'OK' sem entender os riscos potenciais envolvidos", disse Terefos.
O sucesso da infecção e a baixa taxa de detecção permitem que os PDFs sejam distribuídos por muitos meios não tradicionais, como Facebook, sem serem parados por quaisquer regras de detecção.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...