研究人员警告Foxit PDF Reader设计缺陷被恶意利用

Check Point的研究人员警告说，威胁行为者正在利用Foxit PDF Reader警报的设计缺陷，通过诱导用户打开恶意PDF文档来传播恶意软件。

研究人员分析了针对Foxit Reader用户的多个恶意PDF活动。攻击者使用各种. NET和Python漏洞利用构建器，其中最受欢迎的是“PDF Exploit Builder”，用于创建包含宏的PDF文档，这些宏执行下载和执行恶意软件（如Agent Tesla、Remcos RAT、Xworm、NanoCore RAT等）的命令/脚本。

“无论编程语言如何，所有构建器都表现出一致的结构。用于漏洞利用的PDF模板包括占位符文本，一旦用户提供URL输入以下载恶意文件，该文本将被替换，”研究人员解释说。

威胁行为者利用Foxit Reader在打开这些诱杀文件时显示的弹出警报，使有害选项成为默认选择。第一个弹出窗口警告用户禁用功能以避免潜在的安全风险，提供的选项是“只信任此文档一次”或“始终信任此文档”（前者是默认且更安全的选项）。

一旦用户点击确定按钮，另一个警报弹出，攻击者依靠用户忽略警报文本，并通过快速接受默认选项来允许Foxit执行恶意命令。

Foxit PDF Reader被全球超过7亿用户使用，并在政府和科技领域拥有客户。

“威胁行为者从电子犯罪到APT群体各不相同，地下生态系统多年来一直利用这种‘剥削’，因为它一直‘未被发现’，因为大多数AV和沙盒都主要关注Adobe的PDF阅读器，”研究人员补充道。

“成功的感染和低检测率使PDF能够通过许多非传统方式分发，例如通过Facebook，而不会被任何检测规则阻止。”

Check Point已向Foxit报告了被利用的问题，Foxit表示将在2024年版本中解决这个问题。

“正确的方法是检测和禁用这些类型的CMD执行。虽然根据我们从Foxit收到的信息来看，他们可能只是‘切换’默认选项到‘不打开’，”Check Point Research的逆向工程师Antonis Terefos告诉Help Net Security。

目前，Foxit尚未对此发表评论。