Vários agentes ameaçadores estão usando uma falha de design no Foxit PDF Reader para entregar uma variedade de malwares, como Agent Tesla, AsyncRAT, DCRat, NanoCore RAT, NjRAT, Pony, Remcos RAT e XWorm. Esta vulnerabilidade gera alertas de segurança que podem enganar usuários desavisados a executar comandos prejudiciais. O Adobe Acrobat Reader, que é mais comum em soluções de antivírus, não é suscetível a essa exploração específica. A vulnerabilidade decorre do fato de que o aplicativo mostra “OK” como a opção selecionada por padrão em um pop-up quando os usuários são solicitados a confiar no documento antes de ativar determinadas funções para evitar possíveis riscos à segurança. Uma vez que o usuário clica em OK, é exibido um segundo aviso informando que o arquivo está prestes a executar comandos adicionais com a opção “Abrir” definida por padrão. O comando acionado é então usado para baixar e executar um payload malicioso hospedado na rede de entrega de conteúdo do Discord. Essa exploração do comportamento humano é utilizada por atores de ameaças, proporcionando como escolha padrão a mais “nociva”. Um documento em PDF identificado como com tema militar, ao ser aberto pelo Foxit PDF Reader, executava um comando para buscar um downloader que, por sua vez, recuperava dois executáveis para coletar e enviar dados, incluindo documentos, imagens, arquivos de arquivamento e bancos de dados para um servidor de comando e controle (C2). A análise adicional da cadeia de ataque revelou que o downloader também poderia ser usado para enviar um terceiro payload capaz de capturar capturas de tela do host infectado, que então são enviadas para o servidor C2. A atividade, avaliada como voltada para espionagem, foi vinculada à DoNot Team (também conhecida como APT-C-35 e Origami Elephant), citando sobreposições com táticas e técnicas previamente observadas associadas ao ator de ameaça. Uma segunda instância da exploração da mesma técnica emprega uma sequência de vários estágios para implantar um stealer e dois módulos de mineração de criptomoeda, como XMRig e lolMiner. Curiosamente, alguns dos arquivos PDF armadilhados são distribuídos via Facebook. O malware stealer baseado em Python é capaz de roubar credenciais e cookies das extensões Chrome e Edge, com os miners recuperados de um repositório Gitlab pertencente a um usuário chamado topworld20241. O repositório, criado em 17 de fevereiro de 2024, ainda está ativo até o momento. Em outro caso documentado pela empresa de cibersegurança, o arquivo PDF atua como um condutor para recuperar do Discord CDN o Blank-Grabber, um stealer de informações de código aberto disponível no GitHub e arquivado a partir de 6 de agosto de 2023. A via de infecção culmina na entrega do Remcos RAT, mas somente após passar por uma série de passos que envolvem o uso de arquivos LNK, Aplicação HTML (HTA) e scripts Visual Basic como etapas intermediárias. O ator de ameaça por trás da campanha Remcos RAT, que atende pelo nome de silentkillertv e afirma ser um hacker ético com mais de 22 anos de experiência, foi observado anunciando várias ferramentas maliciosas por meio de um canal dedicado no Telegram chamado silent_tools, incluindo crypters e exploits de PDF direcionados ao Foxit PDF Reader. O canal foi criado em 21 de abril de 2022. A Check Point também identificou serviços de criação de PDF baseados em .NET e Python, como Avict Softwares I Exploit PDF, PDF Exploit Builder 2023 e FuckCrypt, que foram usados para criar arquivos PDF com malwares. A DoNot Team é conhecida por ter usado um criador de PDF .NET livremente disponível no GitHub. O uso do Discord, Gitlab e Trello demonstra o contínuo abuso de sites legítimos por atores de ameaças para se misturar ao tráfego normal da rede, evitar a detecção e distribuir malwares. O Foxit reconheceu o problema e espera disponibilizar uma correção na versão 2024.3. A versão atual é a 2024.2.1.25153. Essa exploração pode ser categorizada mais precisamente como uma forma de phishing ou manipulação destinada aos usuários do Foxit PDF Reader, induzindo-os a clicar no “OK” sem entender os riscos potenciais envolvidos. O sucesso da infecção e a baixa taxa de detecção permitem a distribuição de PDFs de muitas maneiras não tradicionais, como Facebook, sem serem interrompidos por regras de detecção.