Diversos atores de ameaças estão utilizando uma falha de design no Foxit PDF Reader para distribuir uma variedade de malwares como Agent Tesla, AsyncRAT, DCRat, NanoCore RAT, NjRAT, Pony, Remcos RAT e XWorm.
Esta exploração aciona alertas de segurança que podem enganar usuários incautos para executar comandos maliciosos. A Adobe Acrobat Reader, mais prevalente em sistemas de sandbox ou soluções antivírus, não é vulnerável a essa exploração específica, contribuindo assim para a baixa taxa de detecção das campanhas.
A falha reside no fato de que o aplicativo exibe “OK” como a opção selecionada por padrão em um pop-up quando os usuários são solicitados a confiar no documento antes de habilitar determinadas funcionalidades para evitar riscos de segurança potenciais. Uma vez que o usuário clica em OK, é exibido um segundo aviso informando que o arquivo está prestes a executar comandos adicionais, com a opção “Abrir” selecionada por padrão. O comando acionado é então utilizado para baixar e executar um payload malicioso hospedado na rede de entrega de conteúdo da Discord (CDN).
Se houver qualquer chance de o usuário-alvo ler a primeira mensagem, a segunda seria “Concordo” sem ser lida.
Um documento PDF com tema militar foi identificado pela Check Point, que, quando aberto pelo Foxit PDF Reader, executava um comando para buscar um downloader que, por sua vez, recuperava dois executáveis para coletar e enviar dados, incluindo documentos, imagens, arquivos de arquivamento e bancos de dados para um servidor de comando e controle (C2).
Análises adicionais da cadeia de ataques revelaram que o downloader também poderia ser usado para baixar um terceiro payload capaz de capturar capturas de tela do host infectado, que são então enviadas para o servidor C2. A atividade, avaliada como direcionada para espionagem, foi relacionada à equipe DoNot (também conhecida como APT-C-35 e Origami Elephant), citando sobreposições com táticas e técnicas anteriormente observadas associadas ao ator de ameaça.
Um segundo caso usando a mesma técnica emprega uma sequência de vários estágios para implantar um stealer e dois módulos mineradores de criptomoeda como XMRig e lolMiner. Curiosamente, alguns dos arquivos PDF preparados com armadilhas são distribuídos via Facebook.
O malware stealer baseado em Python é capaz de roubar credenciais e cookies de vítimas dos navegadores Chrome e Edge, com os mineradores recuperados de um repositório Gitlab pertencente a um usuário chamado topworld20241. O repositório, criado em 17 de fevereiro de 2024, ainda está ativo até o momento da escrita.
Em outro caso documentado pela empresa de cibersegurança, o arquivo PDF atua como um canal para buscar do Discord CDN o Blank-Grabber, um stealer de informações de código aberto disponível no GitHub e arquivado em 6 de agosto de 2023.
O caminho de infecção culmina na entrega do Remcos RAT, mas somente após passar por uma série de etapas que envolvem o uso de arquivos LNK, HTML Application (HTA) e scripts Visual Basic como passos intermediários.
O ator de ameaça por trás da campanha Remcos RAT, que atende pelo nome de silentkillertv e afirma ser um hacker ético com mais de 22 anos de experiência, foi observado anunciando várias ferramentas maliciosas através de um canal dedicado no Telegram chamado silent_tools, incluindo crypters e exploits PDF direcionados ao Foxit PDF Reader. O canal foi criado em 21 de abril de 2022.
A Check Point também identificou serviços de construção de PDF baseados em .NET e Python, como Avict Softwares I Exploit PDF, PDF Exploit Builder 2023 e FuckCrypt, que foram usados para criar os arquivos PDF infestados de malware. A equipe DoNot teria usado um construtor de PDF .NET disponível gratuitamente no GitHub.
A utilização do Discord, Gitlab e Trello demonstra o contínuo abuso de sites legítimos por atores de ameaça para se camuflarem no tráfego de rede normal, evitar detecção e distribuir malware. O Foxit reconheceu o problema e deverá implementar uma correção na versão 2024.3. A versão atual é a 2024.2.1.25153.
Enquanto essa exploração não se enquadra na definição clássica de acionar atividades maliciosas, pode ser mais precisamente categorizada como uma forma de phishing ou manipulação destinada aos usuários do Foxit PDF Reader, induzindo-os a clicarem habitualmente em “OK” sem compreender os riscos potenciais envolvidos.
“O sucesso da infecção e a baixa taxa de detecção permitem que os arquivos PDF sejam distribuídos por muitas maneiras não tradicionais, como o Facebook, sem serem interrompidos por regras de detecção.”