“有缺陷”的 Foxit PDF Reader 设计使用户容易受到攻击

阅读量61074

发布时间 : 2024-05-16 12:15:12

Check Point Research 发现 PDF 漏洞正在广泛传播,主要针对 Foxit Reader 用户。通过触发安全警告,毫无戒心的用户可能会被欺骗执行有害命令。

许多威胁参与者已经在利用该漏洞,该漏洞利用了“福昕阅读器中警告消息的设计缺陷”。

当用户打开已更改的 PDF 文件时,该漏洞会触发安全警告。如果粗心的用户两次使用默认选项(这是最有害的),该漏洞就会从远程服务器下载并执行有效负载。

研究人员表示:“感染成功且检测率低,使得恶意 PDF 可以通过许多非传统方式(例如 Facebook)进行传播,而不会被任何检测规则阻止。”


该漏洞的用途广泛,从间谍活动到具有多个链接和工具的电子犯罪,可实现令人印象深刻的攻击链。

在一个实例中,标记为 APT-C-35 / DoNot Team 的威胁参与者获得了针对 Windows 和 Android 设备执行混合活动的能力,“这也导致了双因素身份验证 (2FA) 绕过”。

研究人员表示:“各种网络犯罪行为者也利用了这一漏洞,传播最著名的恶意软件系列,例如 VenomRAT、Agent-Tesla、Remcos、NjRAT、NanoCore RAT、Pony、Xworm、AsyncRAT、DCRat。”

在一次恶意活动中,Check Point 跟踪了通过 Facebook 分发的链接,这导致了很长的攻击链,最终丢失了一名信息窃取者和两名加密货币矿工。另一项活动是由威胁参与者 @silentkillertv 发起的,他利用了两个链接的 PDF 文件,其中一个托管在合法网站 trello.com 上

“Check Point 获得了攻击者拥有的多个构建器,这些构建器利用此漏洞创建恶意 PDF 文件。收集到的大多数 PDF 都在执行 PowerShell 命令,该命令从远程服务器下载有效负载然后执行,尽管在某些情况下使用了其他命令,”报告中写道。

研究人员将此 PDF 漏洞归类为针对 Foxit PDF Reader 用户的网络钓鱼或社会工程形式,而不是典型的恶意活动。恶意行为者需要诱骗用户习惯性地单击“确定”,而不了解所涉及的潜在风险。

Foxit Reader承认了该问题,并向Check Point表示将在2024 3版本中解决该问题。同时,建议用户在打开未知来源的PDF文件时注意并谨慎行事。

本文转载自:

如若转载,请注明出处: https://cybernews.com/news/foxit-pdf-reader-exploit/

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66