Check Point的研究人员警告说,威胁行为者正在利用Foxit PDF Reader警报的设计缺陷,通过诱导用户打开恶意PDF文档来传播恶意软件。
研究人员分析了针对Foxit Reader用户的多个恶意PDF活动。攻击者使用各种. NET和Python漏洞利用构建器,其中最受欢迎的是“PDF Exploit Builder”,用于创建包含宏的PDF文档,这些宏执行下载和执行恶意软件(如Agent Tesla、Remcos RAT、Xworm、NanoCore RAT等)的命令/脚本。
“无论编程语言如何,所有构建器都表现出一致的结构。用于漏洞利用的PDF模板包括占位符文本,一旦用户提供URL输入以下载恶意文件,该文本将被替换,”研究人员解释说。
威胁行为者利用Foxit Reader在打开这些诱杀文件时显示的弹出警报,使有害选项成为默认选择。第一个弹出窗口警告用户禁用功能以避免潜在的安全风险,提供的选项是“只信任此文档一次”或“始终信任此文档”(前者是默认且更安全的选项)。
一旦用户点击确定按钮,另一个警报弹出,攻击者依靠用户忽略警报文本,并通过快速接受默认选项来允许Foxit执行恶意命令。
Foxit PDF Reader被全球超过7亿用户使用,并在政府和科技领域拥有客户。
“威胁行为者从电子犯罪到APT群体各不相同,地下生态系统多年来一直利用这种‘剥削’,因为它一直‘未被发现’,因为大多数AV和沙盒都主要关注Adobe的PDF阅读器,”研究人员补充道。
“成功的感染和低检测率使PDF能够通过许多非传统方式分发,例如通过Facebook,而不会被任何检测规则阻止。”
Check Point已向Foxit报告了被利用的问题,Foxit表示将在2024年版本中解决这个问题。
“正确的方法是检测和禁用这些类型的CMD执行。虽然根据我们从Foxit收到的信息来看,他们可能只是‘切换’默认选项到‘不打开’,”Check Point Research的逆向工程师Antonis Terefos告诉Help Net Security。
目前,Foxit尚未对此发表评论。
