Diversos atores de ameaças estão utilizando uma falha de design no Foxit PDF Reader para distribuir uma variedade de malwares, como Agent Tesla, AsyncRAT, DCRat, NanoCore RAT, NjRAT, Pony, Remcos RAT e XWorm.
“Essa exploração aciona avisos de segurança que poderiam enganar usuários incautos a executar comandos maliciosos”, disse a Check Point em um relatório técnico. “Essa exploração tem sido usada por diversos atores de ameaças, desde crimes eletrônicos até espionagem.”
Vale ressaltar que o Adobe Acrobat Reader – mais presente em ambientes de sandbox ou soluções antivírus – não é suscetível a esta exploração específica, contribuindo assim para a baixa taxa de detecção da campanha.
O problema decorre do fato de que o aplicativo mostra “OK” como a opção padrão selecionada em um pop-up quando os usuários são solicitados a confiar no documento antes de habilitar certas funcionalidades para evitar potenciais riscos de segurança.
Uma vez que um usuário clica em OK, é exibido um segundo aviso pop-up informando que o arquivo está prestes a executar comandos adicionais, com a opção “Abrir” definida como padrão. O comando acionado é então usado para baixar e executar um payload malicioso hospedado na rede de entrega de conteúdo do Discord (CDN).
“Se havia alguma chance de o usuário-alvo ler a primeira mensagem, a segunda seria ‘Concordou’ sem ler”, disse o pesquisador de segurança Antonis Terefos.
Check Point afirmou ter identificado um documento PDF com tema militar que, quando aberto via Foxit PDF Reader, executou um comando para buscar um downloader que, por sua vez, recuperou dois executáveis para coletar e enviar dados, incluindo documentos, imagens, arquivos de arquivos e bancos de dados para um servidor de controle e comando (C2).
Uma análise mais aprofundada da cadeia de ataque revelou que o downloader também poderia ser usado para baixar um terceiro payload capaz de capturar screenshots do host infectado, que são então enviados para o servidor C2.
A atividade, avaliada como direcionada para espionagem, foi atribuída à equipe DoNot (também conhecida como APT-C-35 e Origami Elephant), citando semelhanças com táticas e técnicas anteriormente observadas associadas ao ator de ameaças.
Uma segunda instância do uso da mesma técnica emprega uma sequência de múltiplos estágios para implantar um rouba-senhas e dois módulos mineradores de criptomoedas, como XMRig e lolMiner. Curiosamente, alguns dos arquivos PDF armadilhados são distribuídos via Facebook.
O malware de rouba-senhas baseado em Python está equipado para roubar credenciais e cookies de vítimas dos navegadores Chrome e Edge, com os mineradores recuperados de um repositório Gitlab pertencente a um usuário chamado topworld20241. O repositório, criado em 17 de fevereiro de 2024, ainda está ativo no momento da escrita.
Em outro caso documentado pela empresa de cibersegurança, o arquivo PDF atua como um canal para recuperar do Discord CDN Blank-Grabber, um rouba-informações de código aberto disponível no GitHub e que foi arquivado em 6 de agosto de 2023.
“Outro caso interessante ocorreu quando um PDF malicioso incluiu um hyperlink para um anexo hospedado no trello[.]com”, disse Terefos. “Ao ser baixado, revelou um segundo arquivo PDF contendo código malicioso, que se aproveita dessa ‘exploração’ dos usuários do Foxit Reader.”
A trajetória de infecção culmina na entrega do Remcos RAT, mas somente após passar por uma série de etapas que envolvem o uso de arquivos LNK, Aplicação HTML (HTA) e scripts Visual Basic como etapas intermediárias.
O ator de ameaças por trás da campanha Remcos RAT, conhecido como silentkillertv e afirmando ser um hacker ético com mais de 22 anos de experiência, tem sido observado anunciando várias ferramentas maliciosas por meio de um canal dedicado no Telegram chamado silent_tools, incluindo crypters e exploits de PDF direcionados ao Foxit PDF Reader. O canal foi criado em 21 de abril de 2022.
Check Point disse também ter identificado serviços construtores de PDF baseados em .NET e Python, como Avict Softwares I Exploit PDF, PDF Exploit Builder 2023 e FuckCrypt, que foram usados para criar arquivos PDF com malware. A equipe DoNot teria usado um construtor de PDF .NET disponível gratuitamente no GitHub.
Se nada mais, o uso do Discord, Gitlab e Trello demonstra o contínuo abuso de sites legítimos por atores de ameaças para misturar-se ao tráfego normal da rede, evitar detecção e distribuir malwares. A Foxit reconheceu o problema e deve lançar uma correção na versão 2024.3. A versão atual é a 2024.2.1.25153.
“Enquanto essa ‘exploração’ não se encaixa na definição clássica de acionar atividades maliciosas, poderia ser categorizada de forma mais precisa como uma forma de ‘phishing’ ou manipulação destinada aos usuários do Foxit PDF Reader, induzindo-os a clicar habitualmente em ‘OK’ sem compreender os riscos potenciais envolvidos”, disse Terefos.
“O sucesso da infecção e a baixa taxa de detecção permitem que os PDFs sejam distribuídos por muitas maneiras não tradicionais, como o Facebook, sem serem interrompidos por quaisquer regras de detecção.”