Falha no PDF Reader é explorada para distribuir diversos malwares
A descoberta de uma falha de design no Foxit PDF Reader tem preocupado especialistas em segurança digital. Vários atores mal-intencionados têm se aproveitado dessa vulnerabilidade para disseminar uma série de malwares, incluindo Agent Tesla, AsyncRAT, DCRat, NanoCore RAT, NjRAT, Pony, Remcos RAT e XWorm.
O Problema da Falha de Design
A falha em questão reside no comportamento do aplicativo quando os usuários são solicitados a confiar em um documento para habilitar determinadas funcionalidades. Nesse momento, o Foxit PDF Reader apresenta automaticamente a opção “OK” como padrão em um pop-up, induzindo os usuários a clicarem nela sem considerar os riscos envolvidos.
A Cadeia de Ataque
Ao clicar em “OK”, os usuários são confrontados com um segundo pop-up alertando sobre a execução iminente de comandos adicionais. Aqui, a opção “Abrir” é predefinida, facilitando ainda mais a infiltração de malwares. Este comando, por sua vez, é utilizado para baixar e executar uma carga maliciosa hospedada na rede de entrega de conteúdo (CDN) do Discord.
Explorando Legitimidade para Fins Maliciosos
Além disso, análises adicionais da cadeia de ataque revelaram que o downloader poderia liberar uma terceira carga capaz de capturar capturas de tela do dispositivo infectado, enviando-as ao servidor C2. O uso de plataformas legítimas, como Discord, Gitlab e Trello, demonstra a astúcia dos atores maliciosos em se camuflar no tráfego de rede comum, dificultando a detecção.
Ação e Reconhecimento
O Foxit está ciente do problema e planeja lançar uma correção na versão 2024.3, atualmente na versão 2024.2.1.25153. Embora este “exploit” não se enquadre na definição clássica de atividades maliciosas, pode ser categorizado como uma forma de “phishing”, manipulando os usuários para clicarem em “OK” sem compreender plenamente os riscos envolvidos.
Fonte: BoletimSec