Vários atores de ameaças estão aproveitando uma falha de design no Foxit PDF Reader para entregar uma variedade de malware, como Agent Tesla, AsyncRAT, DCRat, NanoCore RAT, NjRAT, Pony, Remcos RAT e XWorm.
“Esta exploração gera avisos de segurança que podem enganar usuários incautos a executar comandos prejudiciais”, disse a Check Point em um relatório técnico. “Essa exploração foi usada por vários atores de ameaças, do crime eletrônico à espionagem”.
Vale ressaltar que o Adobe Acrobat Reader, que é mais prevalente em ambientes controlados ou em soluções antivírus, não é suscetível a essa exploração específica, contribuindo assim para a baixa taxa de detecção da campanha.
O problema decorre do fato de que o aplicativo exibe “OK” como a opção padrão em um pop-up quando os usuários são solicitados a confiar no documento antes de ativar determinados recursos para evitar possíveis riscos de segurança.
Uma vez que o usuário clica em OK, é exibido um segundo aviso pop-up informando que o arquivo está prestes a executar comandos adicionais, com a opção “Abrir” definida como padrão. O comando acionado é então usado para baixar e executar um payload malicioso hospedado na rede de entrega de conteúdo do Discord (CDN).
“Se houvesse alguma chance de o usuário-alvo ler a primeira mensagem, a segunda seria ‘Concordo’ sem ler”, disse o pesquisador de segurança Antonis Terefos.
“Os Atores de Ameaças estão se aproveitando dessa lógica falha e do comportamento humano comum, que apresenta como escolha padrão a mais ‘prejudicial'”.
A Check Point disse ter identificado um documento PDF com tema militar que, ao ser aberto no Foxit PDF Reader, executava um comando para buscar um downloader que, por sua vez, recuperava dois executáveis para coletar e enviar dados, incluindo documentos, imagens, arquivos de arquivamento e bancos de dados para um servidor de comando e controle (C2).
Uma análise mais aprofundada da cadeia de ataque revelou que o downloader também poderia ser usado para baixar um terceiro payload capaz de capturar capturas de tela do host infectado, que são então enviadas para o servidor C2.
A atividade, avaliada como direcionada para a espionagem, foi vinculada à DoNot Team (também conhecida como APT-C-35 e Origami Elephant), citando sobreposições com táticas e técnicas anteriormente observadas associadas ao ator de ameaças.
Uma segunda instância que aproveita a mesma técnica utiliza uma sequência multietapa para implantar um stealer e dois módulos mineiros de criptomoedas, como XMRig e lolMiner. Curiosamente, alguns dos arquivos PDF armadilhados são distribuídos pelo Facebook.
O malware stealer baseado em Python é equipado para roubar credenciais e cookies de vítimas dos navegadores Chrome e Edge, com os mineiros recuperados de um repositório Gitlab pertencente a um usuário chamado topworld20241. O repositório, criado em 17 de fevereiro de 2024, ainda está ativo até o momento da redação.
Em outro caso documentado pela empresa de segurança cibernética, o arquivo PDF atua como um canal para recuperar do Discord CDN o Blank-Grabber, um stealer de informações de código aberto disponível no GitHub e que foi arquivado a partir de 6 de agosto de 2023.
“Outro caso interessante ocorreu quando um PDF malicioso incluiu um hiperlink para um anexo hospedado no trello[.]com”, disse Terefos. “Ao ser baixado, revelou um segundo arquivo PDF contendo código malicioso, que se aproveita dessa ‘exploração’ de usuários do Foxit Reader”.
O caminho de infecção culmina na entrega do Remcos RAT, mas somente após passar por uma série de etapas que envolvem o uso de arquivos LNK, Aplicação HTML (HTA) e scripts Visual Basic como etapas intermediárias.
O ator de ameaças por trás da campanha do Remcos RAT, que usa o nome silentkillertv e afirma ser um hacker ético com mais de 22 anos de experiência, foi observado anunciando várias ferramentas maliciosas por meio de um canal dedicado no Telegram chamado silent_tools, incluindo crypters e exploits de PDF visando o Foxit PDF Reader.
A Check Point disse também ter identificado serviços de criação de PDF baseados em .NET e Python, como Avict Softwares I Exploit PDF, PDF Exploit Builder 2023 e FuckCrypt, que foram usados para criar arquivos PDF infestados de malware. A DoNot Team é dita ter usado um construtor de PDF .NET livremente disponível no GitHub.
Se algo, o uso do Discord, Gitlab e Trello demonstra o contínuo abuso de sites legítimos por atores de ameaças para se misturar ao tráfego de rede normal, evadir detecção e distribuir malware. A Foxit reconheceu o problema e espera lançar uma correção na versão 2024.3. A versão atual é 2024.2.1.25153.
“Embora essa ‘exploit’ não se encaixe na definição clássica de acionar atividades maliciosas, poderia ser mais precisamente categorizada como uma forma de ‘phishing’ ou manipulação destinada aos usuários do Foxit PDF Reader, persuadindo-os a clicar em ‘OK’ sem entender os riscos potenciais envolvidos”, disse Terefos.
“O sucesso da infecção e a baixa taxa de detecção permitem que os PDFs sejam distribuídos por muitas maneiras não tradicionais, como o Facebook, sem serem interrompidos por regras de detecção”.
