Vulnerabilidad y exploit en Foxit PDF Reader, permite infección
Los actores de múltiples amenazas están aprovechando una falla de diseño en el lector de PDF Foxit para entregar una variedad de malware como el Agente Tesla, Asyncrat, DCRAT, Nanocore Rat, NJRAT, Pony, REMCOS RAT y XWORM.
"Este exploit desencadena advertencias de seguridad que podrían engañar a los usuarios para ejecutar comandos dañinos", dijo Check Point en un informe técnico. "Este exploit está siendo utilizado por múltiples actores de amenazas para infectar usuarios".
Vale la pena señalar que Adobe Acrobat Reader, que suele tener muchas más vulnerabilidades, en este caso no es susceptible a este exploit específico, lo que contribuye a la baja tasa de detección de la campaña.
El problema se deriva del hecho de que la aplicación muestra "OK" como la opción seleccionada predeterminada en una ventana emergente cuando se le solicita al usuario que confíen en el documento antes de habilitar ciertas características para evitar posibles riesgos de seguridad.
Una vez que un usuario hace clic en Aceptar, se muestra una segunda advertencia emergente de que el archivo está a punto de ejecutar comandos adicionales con la opción "Abrir" establecida como el valor predeterminado. El comando activado se usa para descargar y ejecutar una carga útil maliciosa alojada en la red de entrega de contenido (CDN) de Discord.
"Si hubiera alguna posibilidad de que el usuario objetivo leyera el primer mensaje, el segundo sería 'acordado' sin leer", dijo el investigador de seguridad Antonis Terefos. "Este es el caso de que los actores de la amenaza están aprovechando esta lógica defectuosa y el comportamiento humano común, lo que proporciona como la opción predeterminada la más 'dañina'".
Check Point dijo que identificó un documento PDF con un tema militar que, cuando se abre a través de Foxit PDF Reader, ejecuta un comando para obtener un descargador que, a su vez, recuperó dos ejecutables para recopilar y cargar datos, incluidos documentos, imágenes, archivos, archivos, archivos, archivos, y bases de datos a un servidor de Comando y Control (C2).
Un análisis posterior de la cadena de ataque ha revelado que el descargador también podría usarse para soltar una tercera carga útil que sea capaz de hacer capturas de pantalla del host infectado, después de lo cual se cargan al servidor C2.
La actividad, evaluada para estar orientada al espionaje, se ha relacionado con el equipo de DoNot Team (también conocido como APT-C-35 y Origami Elephant), citando superposiciones con tácticas y técnicas previamente observadas asociadas con el actor de amenazas.
Una segunda instancia utiliza la misma técnica para implementar dos módulos mineros de criptomonedas como XMRIG y LOLMiner. Curiosamente, algunos de los archivos PDF se distribuyen a través de Facebook.
El malware Stealer desarrollado en Python es capaz de robar las credenciales y cookies de las víctimas de los navegadores Chrome y Edge, con los mineros recuperados de un repositorio de Gitlab que pertenece a un usuario llamado TopWorld20241. El repositorio, creado el 17 de febrero de 2024, todavía está activo al escribir esto.
En otro caso documentado, el archivo PDF actúa como un conducto para recuperar de Discord CDN Blank-Grabber, un ladrón de información de código abierto que está disponible en Github y que ha sido archivado a partir del 6 de agosto de 2023.
"Otro caso interesante ocurrió cuando un PDF malicioso incluyó un hipervínculo a un archivo adjunto alojado en Trello[.]com. Al descargar, reveló un archivo PDF secundario que contiene código malicioso, que se aprovecha del exploit"
La vía de infección culmina en la entrega de REMCOS RAT, pero solo después de avanzar a través de una serie de pasos que implican el uso de archivos LNK, aplicación HTML (HTA) y Scripts Visual Basic como pasos intermedios.
El actor de amenaza detrás de la campaña de REMCOS RAT, afirma ser un "hacker ético con más de 22 años de experiencia", se ha observado que anuncia varias herramientas maliciosas a través de un canal de Telegram dedicado, incluidos Crypters y exploits funcionales para Foxit. El canal fue creado el 21 de abril de 2022. Check Point dijo que también identificó otros servicios PDF Builder disponibles gratuitamente en GitHub.
En todo caso, el uso de Discord, Gitlab y Trello demuestran el abuso continuo de sitios web legítimos por parte de los actores de amenaza para combinarse con el tráfico de red normal, evadir la detección y distribuir malware. Foxit ha reconocido el problema y se espera que despliegue una solución en la versión 2024.3. La versión actual es 2024.2.1.25153.
Fuente:
THN
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!