Diversos atores de ameaças estão utilizando uma falha de design no Foxit PDF Reader para entregar uma variedade de malwares, como Agent Tesla, AsyncRAT, DCRat, NanoCore RAT, NjRAT, Pony, Remcos RAT e XWorm.
Essa exploração gera alertas de segurança que poderiam enganar usuários desavisados a executar comandos prejudiciais. Essa falha tem sido utilizada por vários atores de ameaças, desde crimes eletrônicos até espionagem.
Vale ressaltar que o Adobe Acrobat Reader, mais presente em sandboxes ou soluções antivírus, não é suscetível a essa exploração específica, contribuindo assim para a baixa taxa de detecção da campanha.
O problema surge do fato de que o aplicativo exibe “OK” como a opção padrão selecionada em um pop-up quando os usuários são solicitados a confiar no documento antes de habilitar certas funcionalidades para evitar riscos de segurança potenciais.
Uma vez que o usuário clica em OK, é exibido um segundo aviso de que o arquivo está prestes a executar comandos adicionais, com a opção “Abrir” definida como padrão. O comando acionado é então utilizado para baixar e executar um payload malicioso hospedado na rede de entrega de conteúdo do Discord (CDN).
“Se houvesse alguma chance de que o usuário-alvo lesse a primeira mensagem, a segunda seria ‘Concordo’ sem ler”, disse o pesquisador de segurança Antonis Terefos.
Essa é a situação em que os atores de ameaças estão se aproveitando dessa lógica defeituosa e do comportamento humano comum, que fornece como escolha padrão a mais ‘prejudicial’.
Um documento PDF com temática militar foi identificado pela Check Point, que, quando aberto pelo Foxit PDF Reader, executava um comando para buscar um downloader que, por sua vez, recuperava dois executáveis para coletar e enviar dados, incluindo documentos, imagens, arquivos de arquivos e bancos de dados para um servidor de controle e comando (C2).
Uma análise mais aprofundada da cadeia de ataque revelou que o downloader também poderia ser usado para soltar um terceiro payload capaz de capturar capturas de tela do host infectado, que são então enviadas para o servidor C2.
A atividade, avaliada como voltada para espionagem, foi relacionada ao DoNot Team (também conhecido como APT-C-35 e Origami Elephant), citando sobreposições com táticas e técnicas associadas ao ator de ameaças observadas anteriormente.
Uma segunda instância que usa a mesma técnica emprega uma sequência de múltiplos estágios para implantar um stealer e dois módulos de mineração de criptomoedas, como XMRig e lolMiner. Curiosamente, alguns dos arquivos PDF armadilhados são distribuídos via Facebook.
O malware stealer baseado em Python é equipado para roubar credenciais e cookies das browsers Chrome e Edge, com os miners sendo recuperados de um repositório GitLab pertencente a um usuário chamado topworld20241. O repositório, criado em 17 de fevereiro de 2024, ainda está ativo até o momento da redação.
Em outro caso documentado pela empresa de cibersegurança, o arquivo PDF atua como um canal para recuperar do Discord CDN o Blank-Grabber, um stealer de informações de código aberto disponível no GitHub e que foi arquivado até 6 de agosto de 2023.
“Outro caso interessante ocorreu quando um PDF malicioso incluiu um hyperlink para um anexo hospedado no trello[.]com”, disse Terefos. “Ao ser baixado, ele revelou um segundo arquivo PDF contendo código malicioso, que se aproveita dessa ‘exploração’ dos usuários do Foxit Reader.”
O caminho de infecção culmina na entrega do Remcos RAT, mas somente depois de passar por uma série de etapas que envolvem o uso de arquivos LNK, Aplicativo HTML (HTA) e scripts Visual Basic como etapas intermediárias.
O ator de ameaças por trás da campanha Remcos RAT, conhecido como silentkillertv, que afirma ser um hacker ético com mais de 22 anos de experiência, foi observado anunciando várias ferramentas maliciosas através de um canal dedicado no Telegram chamado silent_tools, incluindo crypters e exploits PDF visando o Foxit PDF Reader. O canal foi criado em 21 de abril de 2022.
A Check Point também identificou serviços construtores de PDF baseados em .NET e Python, como Avict Softwares I Exploit PDF, PDF Exploit Builder 2023 e FuckCrypt, que foram usados para criar os arquivos PDF infectados por malware. O DoNot Team teria utilizado um construtor de PDF .NET disponível gratuitamente no GitHub.
O uso do Discord, GitLab e Trello demonstra o contínuo abuso de sites legítimos por atores de ameaças para se misturar ao tráfego de rede normal, evitar detecção e distribuir malware. A Foxit reconheceu o problema e espera lançar uma correção na versão 2024 3. A versão atual é 2024.2.1.25153.
“Embora essa ‘exploração’ não se enquadre na definição clássica de desencadear atividades maliciosas, ela poderia ser categorizada de forma mais precisa como uma forma de ‘phishing’ ou manipulação direcionada aos usuários do Foxit PDF Reader, os persuadindo a clicar habitualmente em ‘OK’ sem entender os riscos potenciais envolvidos”, disse Terefos.
“O sucesso da infecção e a baixa taxa de detecção permitem que os PDFs sejam distribuídos através de muitas maneiras não tradicionais, como o Facebook, sem serem impedidos por nenhuma regra de detecção.”
