Vários atores de ameaças estão se aproveitando de uma falha de design no Foxit PDF Reader para distribuir uma variedade de malwares, como Agent Tesla, AsyncRAT, DCRat, NanoCore RAT, NjRAT, Pony, Remcos RAT e XWorm. Este exploit desencadeia avisos de segurança que podem enganar usuários desavisados a executar comandos prejudiciais. Esta exploração tem sido usada por vários atores de ameaças, do crime eletrônico à espionagem. Vale ressaltar que o Adobe Acrobat Reader, mais presente em ambientes controlados ou soluções antivírus, não é vulnerável a este exploit específico, contribuindo para a baixa taxa de detecção da campanha. A questão reside no fato de que o aplicativo exibe “OK” como opção padrão em um pop-up quando os usuários são solicitados a confiar no documento antes de habilitar certos recursos para evitar possíveis riscos de segurança. Uma vez que o usuário clica em OK, é exibido um segundo pop-up de aviso informando que o arquivo está prestes a executar comandos adicionais com a opção “Abrir” configurada como padrão. O comando acionado é então usado para baixar e executar um payload malicioso hospedado na rede de entrega de conteúdo do Discord (CDN). “Se houvesse alguma chance de o usuário-alvo ler a primeira mensagem, a segunda seria ‘Concordar’ sem ler”, disse o pesquisador de segurança Antonis Terefos. Essa atividade, avaliada como voltada para a espionagem, foi vinculada ao DoNot Team (também conhecido como APT-C-35 e Origami Elephant), citando sobreposições com táticas e técnicas anteriormente observadas associadas ao ator de ameaças. Um segundo caso, usando a mesma técnica, emprega uma sequência de vários estágios para implantar um stealer e dois módulos mineradores de criptomoedas, como XMRig e lolMiner. Alguns dos arquivos PDF armadilhados são distribuídos através do Facebook. O malware stealer baseado em Python é capaz de roubar credenciais e cookies de vítimas dos navegadores Chrome e Edge, com os mineradores recuperados de um repositório Gitlab pertencente a um usuário chamado topworld20241. O repositório, criado em 17 de fevereiro de 2024, ainda está ativo no momento da redação deste texto. Em outro caso documentado pela empresa de segurança cibernética, o arquivo PDF atua como um condutor para recuperar do Discord CDN o Blank-Grabber, um stealer de informações de código aberto disponível no GitHub e que foi arquivado em 6 de agosto de 2023. O canal foi criado em 21 de abril de 2022. A Check Point também identificou serviços de criação de PDF baseados em .NET e Python como Avict Softwares I Exploit PDF, PDF Exploit Builder 2023 e FuckCrypt, que foram usados para criar arquivos PDF infectados por malwares. Se há algo a se notar, o uso do Discord, Gitlab e Trello demonstra o contínuo abuso de sites legítimos por atores de ameaças para se misturarem ao tráfego normal da rede, evadir a detecção e distribuir malwares. A Foxit reconheceu o problema e espera disponibilizar uma solução na versão 2024 3. A versão atual é 2024.2.1.25153. “Enquanto este ‘exploit’ não se encaixa na definição clássica de desencadear atividades maliciosas, poderia ser mais precisamente categorizado como uma forma de ‘phishing’ ou manipulação destinada aos usuários do Foxit PDF Reader, persuadindo-os a clicar habitualmente em ‘OK’ sem entender os riscos potenciais envolvidos”, disse Terefos. “O sucesso da infecção e a baixa taxa de detecção permitem que os PDFs sejam distribuídos por muitas maneiras não tradicionais, como o Facebook, sem serem impedidos por quaisquer regras de detecção.” Se achou este artigo interessante, siga-nos no Twitter e LinkedIn para ler mais conteúdo exclusivo que publicamos.