Hackers εκμεταλλεύτηκαν ευπάθεια του Foxit PDF Reader
Πολλοί κακόβουλοι παράγοντες εκμεταλλεύονται ευπάθεια στο Foxit PDF Reader για να διανείμουν διάφορα είδη κακόβουλου λογισμικού, όπως τα Agent Tesla, AsyncRAT, DCRat, NanoCore RAT, NjRAT, Pony, Remcos RAT και XWorm.
“Αυτό το exploit ενεργοποιεί προειδοποιήσεις ασφαλείας που μπορούν να εξαπατήσουν ανυποψίαστους χρήστες ώστε να εκτελέσουν επιβλαβείς εντολές”, ανέφερε η Check Point σε τεχνική έκθεση. “Έχει αξιοποιηθεί από πολλούς παράγοντες απειλών, από το ηλεκτρονικό έγκλημα έως το spyware.”
Αξίζει να αναφερθεί ότι το Adobe Acrobat Reader, το οποίο έχει διαδοθεί ευρέως σε sandbox ή λύσεις προστασίας από ιούς, δεν είναι ευάλωτο σε αυτό το συγκεκριμένο exploit. Αυτό συμβάλλει στο χαμηλό ποσοστό ανίχνευσης της καμπάνιας.
Το πρόβλημα έγκειται στο ότι η εφαρμογή εμφανίζει το “OK” ως προεπιλεγμένη επιλογή σε ένα αναδυόμενο παράθυρο, όταν ζητά από τους χρήστες να εμπιστευτούν το έγγραφο πριν ενεργοποιηθούν ορισμένες λειτουργίες για την αποφυγή πιθανών κινδύνων ασφαλείας.
Μόλις ένας χρήστης κάνει κλικ στο OK, εμφανίζεται ένα δεύτερο αναδυόμενο παράθυρο που προειδοποιεί ότι το αρχείο πρόκειται να εκτελέσει πρόσθετες εντολές, με την επιλογή “Άνοιγμα” να είναι η προεπιλεγμένη. Η ενεργοποιημένη εντολή χρησιμοποιείται στη συνέχεια για τη λήψη και εκτέλεση ενός κακόβουλου ωφέλιμου φορτίου, το οποίο φιλοξενείται στο δίκτυο παράδοσης περιεχομένου (CDN) του Discord.
«Αν υπήρχε πιθανότητα ο χρήστης-στόχος να διαβάσει το πρώτο μήνυμα, τότε το δεύτερο θα είχε ήδη ‘Συμφωνηθεί’ χωρίς περαιτέρω ανάλυση», δήλωσε ο ερευνητής ασφάλειας Antonis Terefos.
«Αυτή είναι η περίπτωση όπου οι παράγοντες απειλής εκμεταλλεύονται αυτήν την εσφαλμένη λογική και την κοινή ανθρώπινη συμπεριφορά, η οποία, ως προεπιλεγμένη επιλογή, παρέχει την πιο επιβλαβή έκβαση.»
Η Check Point ανέφερε ότι εντόπισε ένα PDF έγγραφο με στρατιωτικό θέμα, το οποίο, όταν ανοιγόταν μέσω του Foxit PDF Reader, εκτελούσε μια εντολή για λήψη ενός downloader. Αυτός με τη σειρά του ανακτούσε δύο εκτελέσιμα αρχεία για τη συλλογή και τη μεταφόρτωση δεδομένων, όπως έγγραφα, εικόνες, αρχεία αρχειοθέτησης και βάσεις δεδομένων, σε διακομιστή εντολών και ελέγχου (C2).
Περαιτέρω ανάλυση της αλυσίδας επίθεσης αποκάλυψε ότι το πρόγραμμα λήψης μπορεί επίσης να χρησιμοποιηθεί για την εγκατάσταση ενός τρίτου ωφέλιμου φορτίου. Αυτό το φορτίο έχει τη δυνατότητα να τραβάει στιγμιότυπα οθόνης από τον μολυσμένο κεντρικό υπολογιστή και να τα μεταφορτώνει στον διακομιστή C2.
Η δραστηριότητα, που εκτιμάται ότι προσανατολίζεται στην κατασκοπεία, έχει συνδεθεί με την ομάδα DoNot (γνωστή και ως APT-C-35 και Origami Elephant), επικαλούμενη επικαλύψεις με προηγούμενες τακτικές και τεχνικές που σχετίζονται με τον παράγοντα απειλής.
Μια άλλη περίπτωση που χρησιμοποιεί την ίδια τεχνική περιλαμβάνει μια διαδικασία πολλών σταδίων για την ανάπτυξη ενός stealer και δύο μονάδων εξόρυξης κρυπτονομισμάτων, όπως το XMRig και το lolMiner. Αξιοσημείωτο είναι ότι ορισμένα από τα κακόβουλα αρχεία PDF διανέμονται μέσω του Facebook.
Το κακόβουλο λογισμικό κλοπής που βασίζεται σε Python είναι σχεδιασμένο να κλέβει διαπιστευτήρια και cookies των θυμάτων από τα προγράμματα περιήγησης Chrome και Edge. Οι εξορύκτες ανακτώνται από ένα αποθετήριο GitLab, που ανήκει σε χρήστη με το όνομα topworld20241. Το αποθετήριο, που δημιουργήθηκε στις 17 Φεβρουαρίου 2024, παραμένει ενεργό κατά τη στιγμή της σύνταξης.
Σε μια άλλη περίπτωση που καταγράφηκε από την εταιρεία κυβερνοασφάλειας, ένα αρχείο PDF λειτουργεί ως μέσο ανάκτησης δεδομένων από το Discord CDN. Χρησιμοποιεί το Blank-Grabber, έναν ανοιχτού κώδικα κλέφτη πληροφοριών διαθέσιμο στο GitHub, ο οποίος έχει αρχειοθετηθεί από τις 6 Αυγούστου 2023.
“Μια άλλη ενδιαφέρουσα περίπτωση ήταν, όταν ένα κακόβουλο PDF περιείχε έναν σύνδεσμο σε ένα αρχείο που φιλοξενείται στο trello[.]com,” δήλωσε ο Antonis Terefos. “Κατά τη λήψη, αποκάλυψε ένα δευτερεύον PDF με κακόβουλο κώδικα, που εκμεταλλεύεται την ευπάθεια των χρηστών του Foxit Reader.”
Η οδός μόλυνσης κορυφώνεται με την παράδοση του Remcos RAT, αλλά μόνο αφού προχωρήσει σε μια σειρά βημάτων που περιλαμβάνουν τη χρήση αρχείων LNK, εφαρμογής HTML (HTA) και σεναρίων Visual Basic ως ενδιάμεσα βήματα.
Ο παράγοντας απειλής πίσω από την εκστρατεία Remcos RAT, ο οποίος ακούει στο όνομα silentkillertv και ισχυρίζεται ότι είναι ηθικός χάκερ με πάνω από 22 χρόνια εμπειρίας, έχει παρατηρηθεί να διαφημίζει διάφορα κακόβουλα εργαλεία μέσω ενός αποκλειστικού καναλιού Telegram που ονομάζεται silent_tools, συμπεριλαμβανομένων crypters και στόχευσης εκμεταλλεύσεων PDF Foxit PDF Reader. Το κανάλι δημιουργήθηκε στις 21 Απριλίου 2022.
Η Check Point είπε ότι εντόπισε επίσης υπηρεσίες δημιουργίας PDF που βασίζονται σε .NET και Python, όπως το Avict Softwares I Exploit PDF, το PDF Exploit Builder 2023 και το FuckCrypt που χρησιμοποιήθηκαν για τη δημιουργία αρχείων PDF με επικάλυψη κακόβουλου λογισμικού. Η ομάδα DoNot λέγεται ότι χρησιμοποίησε ένα πρόγραμμα δημιουργίας PDF .NET που διατίθεται δωρεάν στο GitHub.
Η χρήση του Discord, του Gitlab και του Trello αναδεικνύει την συνεχιζόμενη κατάχρηση νόμιμων ιστότοπων από κακόβουλους φορείς. Αυτοί οι φορείς χρησιμοποιούν αυτούς τους ιστότοπους για να συγχέονται με την κανονική δικτυακή κίνηση, να αποφεύγουν τον εντοπισμό και να διανέμουν κακόβουλο λογισμικό. Το Foxit έχει αναγνωρίσει το πρόβλημα και θα κυκλοφορήσει μια επιδιόρθωση στην έκδοση 2024.3. Η τρέχουσα έκδοση είναι 2024.2.1.25153.
«Αν και αυτή η εκμετάλλευση δεν ταυτίζεται με τον κλασικό ορισμό της ενεργοποίησης κακόβουλων δραστηριοτήτων, μπορεί να κατηγοριοποιηθεί με μεγαλύτερη ακρίβεια ως μια μορφή phishing ή χειραγώγησης χρηστών του Foxit PDF Reader. Συχνά παρακινεί τους χρήστες να κάνουν κλικ στο “OK” χωρίς να κατανοούν τους πιθανούς κινδύνους», επισημαίνει ο Antonis Terefos.
“Η επιτυχία της μόλυνσης και το χαμηλό ποσοστό ανίχνευσης, επιτρέπουν τη διανομή αρχείων PDF με διάφορους μη παραδοσιακούς τρόπους, όπως μέσω του Facebook, χωρίς να παρεμποδίζονται από κανόνες ανίχνευσης.”
