Múltiplos atores de ameaça estão aproveitando uma falha de design no Foxit PDF Reader para entregar uma variedade de malwares, como Agent Tesla, AsyncRAT, DCRat, NanoCore RAT, NjRAT, Pony, Remcos RAT e XWorm.
“Essa exploração aciona alertas de segurança que podem enganar usuários desprevenidos a executar comandos prejudiciais,” disse a Check Point em um relatório técnico. “Essa exploração foi utilizada por múltiplos atores de ameaça, desde crimes eletrônicos até espionagem.”
Vale ressaltar que o Adobe Acrobat Reader, mais prevalente em ambientes de testes de segurança ou soluções antivírus, não é suscetível a essa exploração específica, contribuindo assim para a baixa taxa de detecção da campanha.
O problema surge do fato de que o aplicativo mostra “OK” como a opção padrão selecionada em um pop-up quando os usuários são solicitados a confiar no documento antes de habilitar certas funcionalidades para evitar potenciais riscos de segurança.
Uma vez que o usuário clica em OK, é exibido um segundo pop-up avisando que o arquivo está prestes a executar comandos adicionais, com a opção “Abrir” configurada como padrão. O comando acionado é então usado para baixar e executar um payload malicioso hospedado na rede de entrega de conteúdo do Discord (CDN).
“Se houver alguma chance de o usuário-alvo ler a primeira mensagem, a segunda seria ‘Concordar’ sem ler,” disse o pesquisador de segurança Antonis Terefos.
A Check Point identificou um documento PDF com tema militar que, quando aberto via Foxit PDF Reader, executou um comando para buscar um downloader que, por sua vez, recuperou dois executáveis para coletar e enviar dados, incluindo documentos, imagens, arquivos de arquivamento e bancos de dados para um servidor de controle e comando (C2).
Uma análise adicional da cadeia de ataque revelou que o downloader também poderia ser usado para soltar um terceiro payload capaz de capturar capturas de tela do host infectado, que são então enviadas para o servidor C2.
A atividade, avaliada como direcionada para espionagem, foi vinculada à DoNot Team (também conhecida como APT-C-35 e Origami Elephant), citando sobreposições com táticas e técnicas previamente observadas associadas ao ator de ameaça.
Um segundo exemplo que aproveita a mesma técnica emprega uma sequência de vários estágios para implantar um stealer e dois módulos mineradores de criptomoeda, como XMRig e lolMiner. Curiosamente, alguns dos arquivos PDF armadilhados são distribuídos via Facebook.
O malware stealer baseado em Python é equipado para roubar credenciais e cookies das extensões Chrome e Edge, com os mineradores obtidos de um repositório Gitlab pertencente a um usuário chamado topworld20241. O repositório, criado em 17 de fevereiro de 2024, ainda está ativo até o momento da escrita deste texto.
Em outro caso documentado pela empresa de cibersegurança, o arquivo PDF atua como um canal para recuperar do Discord CDN o Blank-Grabber, um stealer de informações de código aberto disponível no GitHub e que foi arquivado em 6 de agosto de 2023.
“Outro caso interessante ocorreu quando um PDF malicioso incluiu um hiperlink para um anexo hospedado em trello[.]com,” disse Terefos. “Ao baixar, ele revelou um segundo arquivo PDF contendo código malicioso, que se aproveita dessa ‘exploração’ dos usuários do Foxit Reader.”
O caminho de infecção culmina na entrega do Remcos RAT, mas somente após avançar por uma série de etapas que envolvem o uso de arquivos LNK, Aplicação HTML (HTA) e scripts Visual Basic como etapas intermediárias.
O ator de ameaça por trás da campanha Remcos RAT, que se autodenomina silentkillertv e afirma ser um hacker ético com mais de 22 anos de experiência, foi observado anunciando várias ferramentas maliciosas via um canal dedicado do Telegram chamado silent_tools, incluindo crypters e explorações de PDF visando o Foxit PDF Reader. O canal foi criado em 21 de abril de 2022.
A Check Point também identificou serviços construtores de PDF baseados em .NET e Python, como Avict Softwares I Exploit PDF, PDF Exploit Builder 2023 e FuckCrypt, que foram usados para criar os arquivos PDF com malwares. A DoNot Team é dita ter usado um construtor de PDF .NET livremente disponível no GitHub.
Se por um lado o uso do Discord, Gitlab e Trello demonstra o contínuo abuso de websites legítimos por atores de ameaça para se misturarem com o tráfego de rede normal, evitar a detecção e distribuir malwares. O Foxit reconheceu o problema e deverá lançar uma correção na versão 2024.3. A versão atual é a 2024.2.1.25153.
“Embora essa ‘exploração’ não se encaixe na definição clássica de acionar atividades maliciosas, ela pode ser mais adequadamente categorizada como uma forma de ‘phishing’ ou manipulação direcionada aos usuários do Foxit PDF Reader, os persuadindo a clicar habitualmente em ‘OK’ sem entender os riscos potenciais envolvidos,” disse Terefos.
“O sucesso da infecção e a baixa taxa de detecção permitem que os PDFs sejam distribuídos por muitas formas não tradicionais, como o Facebook, sem serem interrompidos por regras de detecção.”
