Please enter CoinGecko Free Api Key to get this plugin works.

Bl0ckch41nnewsVulnerabilidad y exploit en Foxit PDF Reader, permite infección

32


Los actores de múltiples amenazas están aprovechando una falla de diseño en el
lector de PDF Foxit para entregar una variedad de malware como el Agente
Tesla, Asyncrat, DCRAT, Nanocore Rat, NJRAT, Pony, REMCOS RAT y XWORM.

«Este exploit desencadena advertencias de seguridad que podrían engañar a
los usuarios para ejecutar comandos dañinos»
,
dijo Check Point en un informe técnico.
«Este exploit está siendo utilizado por múltiples actores de amenazas para
infectar usuarios»
.

Vale la pena señalar que Adobe Acrobat Reader, que suele tener
muchas más vulnerabilidades, en este caso no es susceptible a este
exploit específico, lo que contribuye a la baja tasa de detección de la
campaña.

El problema se deriva del hecho de que la aplicación muestra «OK» como la
opción seleccionada predeterminada en una ventana emergente cuando se le
solicita al usuario que confíen en el documento antes de habilitar ciertas
características para evitar posibles riesgos de seguridad.

Una vez que un usuario hace clic en Aceptar, se muestra una
segunda advertencia emergente de que el archivo está a punto de ejecutar
comandos adicionales con la opción «Abrir» establecida como el valor
predeterminado. El comando activado se usa para descargar y ejecutar una carga
útil maliciosa alojada en la red de entrega de contenido (CDN) de Discord.

«Si hubiera alguna posibilidad de que el usuario objetivo leyera el primer
mensaje, el segundo sería ‘acordado’ sin leer»
, dijo el investigador de seguridad Antonis Terefos.
«Este es el caso de que los actores de la amenaza están aprovechando esta
lógica defectuosa y el comportamiento humano común, lo que proporciona como
la opción predeterminada la más ‘dañina'»
.

Check Point dijo que identificó un documento PDF con un tema
militar que, cuando se abre a través de Foxit PDF Reader, ejecuta un comando
para obtener un descargador que, a su vez, recuperó dos ejecutables para
recopilar y cargar datos, incluidos documentos, imágenes, archivos, archivos,
archivos, archivos, y bases de datos a un servidor de Comando y Control (C2).

Un análisis posterior de la cadena de ataque ha revelado que el
descargador también podría usarse para soltar una tercera carga útil que sea
capaz de hacer capturas de pantalla del host infectado, después de lo cual se
cargan al servidor C2.

La actividad, evaluada para estar orientada
al espionaje, se ha relacionado con el equipo de
DoNot Team
(también conocido como APT-C-35 y Origami Elephant), citando superposiciones
con tácticas y técnicas previamente observadas asociadas con el actor de
amenazas.

Una segunda instancia utiliza la misma técnica para
implementar dos módulos mineros de criptomonedas como XMRIG y LOLMiner.
Curiosamente, algunos de los archivos PDF se distribuyen a través de Facebook.

El malware Stealer desarrollado en Python es capaz de robar las credenciales y
cookies de las víctimas de los navegadores Chrome y Edge, con los mineros
recuperados de un repositorio de Gitlab que pertenece a un usuario llamado
TopWorld20241. El
repositorio, creado el 17 de febrero de 2024, todavía está activo al escribir esto.

En
otro caso documentado, el archivo PDF actúa como un conducto para recuperar de
Discord CDN
Blank-Grabber, un ladrón de información de código abierto que está disponible en Github y
que ha sido archivado a partir del 6 de agosto de 2023.

«Otro caso interesante ocurrió cuando un PDF malicioso incluyó un
hipervínculo a un archivo adjunto alojado en Trello[.]com. Al descargar,
reveló un archivo PDF secundario que contiene código malicioso, que se
aprovecha del exploit»

La vía de infección culmina en la entrega de REMCOS RAT, pero
solo después de avanzar a través de una serie de pasos que implican el uso
de archivos LNK, aplicación HTML (HTA) y Scripts Visual Basic como pasos
intermedios.

El actor de amenaza detrás de la campaña de REMCOS
RAT, afirma ser un «hacker ético con más de 22 años de experiencia», se ha
observado que
anuncia varias herramientas maliciosas
a través de un canal de Telegram dedicado, incluidos Crypters y exploits funcionales para Foxit. El canal fue creado el
21 de abril de 2022. Check Point dijo que también identificó otros
servicios PDF Builder
disponibles gratuitamente en GitHub.

En todo caso, el uso de Discord, Gitlab y Trello demuestran el
abuso continuo de sitios web legítimos por parte de los actores de amenaza
para combinarse con el tráfico de red normal, evadir la detección y distribuir
malware.
Foxit ha reconocido el problema y se espera que despliegue una solución en
la versión 2024.3. La versión actual es 2024.2.1.25153.

Fuente:
THN



Source link

Los comentarios están cerrados.