Diversos agentes ameaçadores estão explorando uma falha de design no Foxit PDF Reader para distribuir uma variedade de malwares, como o Agent Tesla, AsyncRAT, DCRat, NanoCore RAT, NjRAT, Pony, Remcos RAT e XWorm. Essa exploração tem sido usada por múltiplos agentes, desde crimes cibernéticos até espionagem. É importante ressaltar que o Adobe Acrobat Reader, mais prevalente em ambientes de teste ou soluções antivírus, não é suscetível a essa exploração específica, o que contribui para a baixa taxa de detecção da campanha. A falha está relacionada ao fato de que o aplicativo exibe “OK” como a opção padrão em um pop-up quando os usuários são solicitados a confiar no documento antes de habilitar certas funcionalidades para evitar possíveis riscos de segurança. Uma vez que o usuário clica em OK, é exibido um segundo pop-up avisando que o arquivo está prestes a executar comandos adicionais, com a opção “Abrir” definida como padrão. O comando acionado é então usado para baixar e executar um payload malicioso hospedado na rede de entrega de conteúdo do Discord (CDN). “Se houvesse alguma chance do usuário alvo ler a primeira mensagem, a segunda seria ‘Concordar’ sem ler”, disse o pesquisador de segurança Antonis Terefos. Além disso, foi identificado um documento PDF com temática militar que, ao ser aberto no Foxit PDF Reader, executava um comando para buscar um downloader que, por sua vez, recuperava dois executáveis para coletar e enviar dados, incluindo documentos, imagens, arquivos de arquivos e bancos de dados para um servidor de comando e controle (C2). Uma análise adicional revelou que o downloader também poderia ser usado para baixar um terceiro payload capaz de capturar capturas de tela do host infectado, que são então enviadas para o servidor C2. A atividade, avaliada como sendo voltada para espionagem, foi relacionada à equipe DoNot (também conhecida como APT-C-35 e Origami Elephant), mencionando semelhanças com táticas e técnicas anteriormente observadas associadas ao grupo ameaçador. Outro caso envolve uma sequência multi-estágios para implantar um ladrão de dados e dois módulos de mineração de criptomoedas, como XMRig e lolMiner. Alguns dos arquivos PDF armadilhados são distribuídos pelo Facebook. Além disso, foram identificados serviços de criação de PDFs baseados em .NET e Python, como Avict Softwares I Exploit PDF, PDF Exploit Builder 2023 e FuckCrypt, que foram usados para criar os arquivos PDF maliciosos. A equipe DoNot teria utilizado um construtor de PDF .NET disponível gratuitamente no GitHub. O uso de Discord, Gitlab e Trello demonstra o contínuo abuso de sites legítimos por agentes ameaçadores para se misturar ao tráfego normal da rede, evadir a detecção e distribuir malwares. A Foxit reconheceu o problema e espera lançar uma correção na versão 2024 3. A versão atual é 2024.2.1.25153. “Embora essa ‘exploit’ não se encaixe na definição clássica de desencadear atividades maliciosas, ela poderia ser mais precisamente categorizada como uma forma de ‘phishing’ ou manipulação destinada aos usuários do Foxit PDF Reader, convencendo-os a clicar rotineiramente em ‘OK’ sem entender os riscos potenciais envolvidos”, disse Terefos. “O sucesso da infecção e a baixa taxa de detecção permitem que os PDFs sejam distribuídos de várias maneiras não tradicionais, como o Facebook, sem serem interrompidos por regras de detecção.”