Istraživači kibernetičke sigurnosti otkrili su zabrinjavajući trend u eksploataciji PDF-a, posebno usmjeren na korisnike Foxit Reader-a.
Uprkos dominaciji Adobe Acrobat Reader-a na tržištu, Foxit Reader se pojavio kao značajan igrač, koji ima preko 700 miliona korisnika širom svijeta, uključujući glavne kupce u vladinom i tehnološkom sektoru.
Check Point Research (CPR) je otkrio poseban obrazac eksploatacije PDF-a namijenjen korisnicima Foxit Reader-a, s varijantama koje se aktivno koriste u scenarijima iz stvarnog svijeta.
Prema savjetu objavljenom u utorak, niska stopa otkrivanja eksploatacije pripisuje se raširenoj upotrebi Adobe Reader-a u većini sigurnosnih rješenja, zbog čega je Foxit ranjiv. Kreatori eksploatacije, kodirani na različitim jezicima kao što su .NET i Python, korišteni su za implementaciju malvera.
Primjećeno je da su kampanje koje koriste ovaj eksploat uočene kako dijele zlonamjerne PDF datoteke putem nekonvencionalnih kanala kao što je Facebook.
Istraživanje je otkrilo nedostatak u dizajnu Foxit Reader-a, gdje su korisnicima predstavljene zadane opcije koje bi nenamjerno mogle dovesti do izvršenja zlonamjernih naredbi. Do eksploatacije dolazi kada korisnici pristanu na ove zadane opcije bez potpunog razumijevanja povezanih rizika, naglašavajući ukrštanje pogrešnog dizajna softvera i uobičajenog ljudskog ponašanja.
„Scenario žrtve je prikazan u nastavku: kada otvaramo datoteku, nailazimo na prvi iskačući prozor, zadanu opciju ‘Vjeruj jednom’, što je ispravan pristup,” napisao je CPR. „Jednom kada kliknete na ‘OK’, meta će naići na drugi iskačući prozor. Da postoji ikakva šansa da ciljani korisnik pročita prvu poruku, druga bi bila ‘Dogovoreno’ bez čitanja. Ovo je slučaj gdje hakeri iskorištavaju ovu pogrešnu logiku i uobičajeno ljudsko ponašanje, koje kao zadani izbor daje onaj “najštetniji”.
Daljnja analiza otkrila je višestruke slučajeve kampanja koje su koristile ovaj eksploit, u rasponu od špijunaže usmjerene na vojno osoblje do širih operacija e-zločina. Ove kampanje su demonstrirale sofistikovane lance napada i koristile razne zlonamjerne alate i porodice zlonamjernog softvera, uključujući VenomRAT, Agent-Teslu i Remcos, između ostalih.
Kao odgovor na ove nalaze, CPR je obavijestio Foxit Reader, koji je priznao problem i obavezao se da će ga riješiti u narednoj verziji za 2024. 3.
Izvor: InfoSecurity Magazine