Vários atores ameaçadores estão utilizando uma falha de design no Foxit PDF Reader para distribuir uma variedade de malwares como Agent Tesla, AsyncRAT, DCRat, NanoCore RAT, NjRAT, Pony, Remcos RAT e XWorm.

Essa exploração desencadeia alertas de segurança que poderiam enganar usuários desavisados para executar comandos prejudiciais”, disse a Check Point em um relatório técnico. “Essa exploração tem sido utilizada por vários agentes ameaçadores, desde cibercriminosos até espiões.”

É importante ressaltar que o Adobe Acrobat Reader, que é mais prevalente em ambientes seguros ou soluções antivírus, não é suscetível a essa exploração específica, contribuindo assim para a baixa taxa de detecção da campanha.

O problema decorre do fato de que o aplicativo exibe “OK” como a opção padrão selecionada em um pop-up quando os usuários são solicitados a confiar no documento antes de habilitar determinadas funcionalidades para evitar possíveis riscos de segurança.

Uma vez que o usuário clicar em OK, é exibido um segundo aviso pop-up informando que o arquivo está prestes a executar comandos adicionais com a opção “Abrir” definida como padrão. O comando acionado é então utilizado para baixar e executar um payload malicioso hospedado na rede de entrega de conteúdo da Discord (CDN).

“Se houvesse alguma chance de o usuário-alvo ler a primeira mensagem, a segunda seria ‘Concordo’ sem leitura”, disse o pesquisador de segurança Antonis Terefos.

Check Point disse que identificou um documento PDF com tema militar que, ao ser aberto pelo Foxit PDF Reader, executou um comando para buscar um downloader que, por sua vez, recuperou dois executáveis para coletar e enviar dados, incluindo documentos, imagens, arquivos de arquivamento e bancos de dados para um servidor de comando e controle (C2).

Uma análise adicional da cadeia de ataque revelou que o downloader também poderia ser usado para liberar um terceiro payload capaz de capturar capturas de tela do host infectado, que são então enviadas para o servidor C2.

A atividade, avaliada como voltada para espionagem, foi vinculada ao DoNot Team (também conhecido como APT-C-35 e Origami Elephant), citando sobreposições com táticas e técnicas observadas anteriormente associadas ao ator ameaçador.

Uma segunda instância que utiliza a mesma técnica emprega uma sequência com várias etapas para implantar um ladrão de dados e dois módulos de mineração de criptomoeda como XMRig e lolMiner. Curiosamente, alguns dos arquivos PDF armadilhados são distribuídos através do Facebook.

O malware ladrão baseado em Python é capaz de roubar credenciais e cookies de vítimas dos navegadores Chrome e Edge, com os mineradores recuperados de um repositório Gitlab pertencente a um usuário chamado topworld20241. O repositório, criado em 17 de fevereiro de 2024, ainda está ativo até o momento desta escrita.

Em outro caso documentado pela empresa de cibersegurança, o arquivo PDF age como um canal para recuperar do Discord CDN o Blank-Grabber, um ladrão de informações de código aberto que está disponível no GitHub e que foi arquivado a partir de 6 de agosto de 2023.

“Outro caso interessante ocorreu quando um PDF malicioso incluiu um hiperlink para um anexo hospedado no trello.com,” disse Terefos. “Após o download, revelou um segundo arquivo PDF contendo código malicioso, que aproveita essa ‘exploração’ dos usuários do Foxit Reader.”

A trajetória de infecção culmina na entrega do Remcos RAT, mas somente após passar por uma série de etapas que envolvem o uso de arquivos LNK, Aplicação HTML (HTA) e scripts Visual Basic como etapas intermediárias.

O ator ameaçador por trás da campanha Remcos RAT, que atende pelo nome de silentkillertv e afirma ser um hacker ético com mais de 22 anos de experiência, foi observado anunciando várias ferramentas maliciosas através de um canal dedicado no Telegram chamado silent_tools, incluindo crypters e explorações em PDF visando o Foxit PDF Reader. O canal foi criado em 21 de abril de 2022.

Check Point também identificou serviços construtores de PDF com base em .NET e Python como Avict Softwares I Exploit PDF, PDF Exploit Builder 2023 e FuckCrypt que foram usados para criar os arquivos PDF com malwares. O DoNot Team é conhecido por ter utilizado um construtor de PDF .NET disponível gratuitamente no GitHub.

O uso do Discord, Gitlab e Trello demonstra o contínuo abuso de sites legítimos por atores ameaçadores para se misturar com o tráfego de rede normal, escapar da detecção e distribuir malwares. A Foxit reconheceu o problema e espera lançar uma correção na versão 2024.3. A versão atual é a 2024.2.1.25153.

“Embora essa ‘exploração’ não se encaixe na definição clássica de desencadear atividades maliciosas, poderia ser mais precisamente categorizada como uma forma de ‘phishing’ ou manipulação destinada aos usuários do Foxit PDF Reader, os convencendo a clicar em ‘OK’ sem compreender os possíveis riscos envolvidos”, disse Terefos.

“O sucesso da infecção e a baixa taxa de detecção permitem que os PDFs sejam distribuídos por meio de muitas formas não tradicionais, como o Facebook, sem serem interrompidos por quaisquer regras de detecção.”