Múltiplos atores de ameaças estão aproveitando uma falha de design no Foxit PDF Reader para entregar uma variedade de malwares, como Agent Tesla, AsyncRAT, DCRat, NanoCore RAT, NjRAT, Pony, Remcos RAT e XWorm.
“Esse exploit aciona alertas de segurança que podem enganar usuários desavisados a executar comandos maliciosos,” disse a Check Point em um relatório técnico. “Esse exploit tem sido utilizado por vários atores de ameaças, do crime eletrônico à espionagem.”
Vale ressaltar que o Adobe Acrobat Reader – mais presente em sandboxes ou soluções antivírus – não é suscetível a esse exploit específico, contribuindo assim para a baixa taxa de detecção da campanha.
O problema decorre do fato de que o aplicativo mostra “OK” como a opção selecionada por padrão em um pop-up quando os usuários são solicitados a confiar no documento antes de habilitar certas funcionalidades para evitar possíveis riscos de segurança.
Uma vez que um usuário clica em OK, é exibido um segundo pop-up de aviso indicando que o arquivo está prestes a executar comandos adicionais com a opção “Abrir” configurada como padrão. O comando acionado é então usado para baixar e executar um payload malicioso hospedado na rede de entrega de conteúdo (CDN) do Discord.
“Se houvesse alguma chance do usuário-alvo ler a primeira mensagem, a segunda seria ‘Concordo’ sem ler,” disse o pesquisador de segurança Antonis Terefos.
Essa atividade, avaliada como voltada para a espionagem, foi relacionada ao DoNot Team (também conhecido como APT-C-35 e Origami Elephant), citando sobreposições com táticas e técnicas anteriormente observadas associadas ao ator de ameaça.