Foxit PDF Reader-fout misbruikt door hackers om divers malware-arsenaal te leveren

Meerdere bedreigingsactoren maken gebruik van een ontwerpfout in Foxit PDF Reader om een ​​verscheidenheid aan malware te verspreiden, zoals Agent Tesla, AsyncRAT, DCRat, NanoCore RAT, NjRAT, Pony, Remcos RAT en XWorm.

“Deze exploit veroorzaakt beveiligingswaarschuwingen die nietsvermoedende gebruikers kunnen misleiden om schadelijke opdrachten uit te voeren”, aldus Check Point in een technisch rapport. “Deze exploit is door meerdere bedreigingsactoren gebruikt, van e-criminaliteit tot spionage.”

Het is vermeldenswaard dat Adobe Acrobat Reader – dat vaker voorkomt in sandboxes of antivirusoplossingen – niet gevoelig is voor deze specifieke exploit, wat bijdraagt ​​aan het lage detectiepercentage van de campagne.

Het probleem komt voort uit het feit dat de applicatie “OK” weergeeft als de standaard geselecteerde optie in een pop-up wanneer gebruikers wordt gevraagd het document te vertrouwen voordat bepaalde functies worden ingeschakeld om potentiële beveiligingsrisico's te voorkomen.

Zodra een gebruiker op OK klikt, krijgt hij een tweede pop-upwaarschuwing te zien dat het bestand op het punt staat aanvullende opdrachten uit te voeren, waarbij de optie “Openen” als standaard is ingesteld. De geactiveerde opdracht wordt vervolgens gebruikt om een ​​kwaadaardige lading te downloaden en uit te voeren die wordt gehost op het Content Delivery Network (CDN) van Discord.

“Als er enige kans zou zijn dat de beoogde gebruiker het eerste bericht zou lezen, zou het tweede 'Agreed' zijn zonder te lezen”, zei beveiligingsonderzoeker Antonis Terefos.

“Dit is het geval dat de Threat Actors misbruik maken van deze gebrekkige logica en het gewone menselijke gedrag, dat als standaardkeuze de meest ‘schadelijke’ keuze biedt.”

Check Point zei dat het een PDF-document had geïdentificeerd met een militair thema dat, wanneer het werd geopend via Foxit PDF Reader, een opdracht uitvoerde om een ​​downloader op te halen die op zijn beurt twee uitvoerbare bestanden ophaalde om gegevens te verzamelen en te uploaden, waaronder documenten, afbeeldingen, archiefbestanden, en databases naar een command-and-control (C2)-server.

Verdere analyse van de aanvalsketen heeft uitgewezen dat de downloader ook kan worden gebruikt om een ​​derde lading te droppen die in staat is schermafbeeldingen van de geïnfecteerde host te maken, waarna deze naar de C2-server worden geüpload.

De activiteit, waarvan wordt aangenomen dat deze gericht is op spionage, is in verband gebracht met het DoNot Team (ook bekend als APT-C-35 en Origami Elephant), daarbij verwijzend naar overlappingen met eerder waargenomen tactieken en technieken die verband houden met de dreigingsactor.

Een tweede instantie die dezelfde techniek bewapent, maakt gebruik van een meertrapsreeks om een ​​stealer en twee cryptocurrency-minermodules zoals XMRig en lolMiner in te zetten. Interessant is dat sommige van de pdf-bestanden met boobytraps via Facebook worden verspreid.

Foxit PDF-lezer

De op Python gebaseerde stealer-malware is uitgerust om de inloggegevens en cookies van slachtoffers te stelen uit Chrome- en Edge-browsers, waarbij de mijnwerkers worden opgehaald uit een Gitlab-repository van een gebruiker genaamd topworld20241. De repository, gemaakt op 17 februari 2024, is op het moment van schrijven nog steeds actief.

In een ander geval dat door het cyberbeveiligingsbedrijf is gedocumenteerd, fungeert het pdf-bestand als een kanaal om CDN Blank-Grabber van Discord op te halen, een open-source informatiedief die beschikbaar is op GitHub en die sinds 6 augustus 2023 is gearchiveerd.

“Een ander interessant geval deed zich voor toen een kwaadaardige pdf een hyperlink bevatte naar een bijlage die werd gehost op Trello(.)com”, aldus Terefos. “Bij het downloaden bleek een secundair pdf-bestand met kwaadaardige code, dat hiervan profiteert

'uitbuiting' van Foxit Reader-gebruikers.”

Het infectietraject culmineert in de levering van Remcos RAT, maar pas nadat een reeks stappen is doorlopen waarbij LNK-bestanden, HTML-applicatie (HTA) en Visual Basic-scripts als tussenstappen worden gebruikt.

Er is waargenomen dat de bedreigingsacteur achter de Remcos RAT-campagne, die de naam Silentkillertv draagt ​​en beweert een ethische hacker te zijn met meer dan 22 jaar ervaring, reclame maakt voor verschillende kwaadaardige tools via een speciaal Telegram-kanaal genaamd quiet_tools, waaronder cryptors en PDF-exploits die zich richten op Foxit PDF-lezer. Het kanaal is gemaakt op 21 april 2022.

Check Point zei dat het ook .NET- en Python-gebaseerde PDF-builderdiensten identificeerde, zoals Avict Softwares I Exploit PDF, PDF Exploit Builder 2023 en FuckCrypt die werden gebruikt om de met malware geregen PDF-bestanden te maken. Het DoNot-team zou een .NET PDF-builder hebben gebruikt die gratis beschikbaar is op GitHub.

Het gebruik van Discord, Gitlab en Trello demonstreert in ieder geval het voortdurende misbruik van legitieme websites door bedreigingsactoren om op te gaan in het normale netwerkverkeer, detectie te omzeilen en malware te verspreiden. Foxit heeft het probleem erkend en zal naar verwachting een oplossing uitrollen in versie 2024 3. De huidige versie is 2024.2.1.25153.

“Hoewel deze 'exploit' niet past in de klassieke definitie van het teweegbrengen van kwaadaardige activiteiten, zou het nauwkeuriger kunnen worden gecategoriseerd als een vorm van 'phishing' of manipulatie gericht op gebruikers van Foxit PDF Reader, waardoor ze gewoonlijk op 'OK' klikken zonder het te begrijpen. de potentiële risico's die daarmee gepaard gaan”, zei Terefos.

“Het succes van de infectie en het lage detectiepercentage zorgen ervoor dat PDF's via veel niet-traditionele manieren, zoals Facebook, kunnen worden verspreid zonder te worden tegengehouden door detectieregels.”

Thijs Van der Does