Gefahren im Foxit PDF-Reader

Der Exploit zielt hauptsächlich auf Benutzer von Foxit Reader, der neben Adobe Acrobat Reader mit mehr als 700 Millionen Nutzern in mehr als 200 Ländern einer der prominenten PDF-Viewer ist. Der Exploit löst Sicherheitswarnungen aus, die ahnungslose Benutzer verleiten könnten, schädliche Befehle auszuführen. CPR hat beobachtet, dass Varianten dieses Exploits aktiv in Umlauf sind.

Schwachstellen im Design der Warnmeldungen

Die Sicherheitslücke nutzt das fehlerhafte Design der Warnmeldungen in Foxit Reader aus und sorgt dafür, dass dem Nutzer standardmäßig die gefährlichsten Optionen angeboten werden. Sobald ein unvorsichtiger Benutzer zweimal mit der Standardoption fortfährt, wird der Exploit ausgelöst, der eine Nutzlast von einem Remote-Server herunterlädt und ausführt.

Dieser Exploit wurde von mehreren Hackern für kriminelle Aktivitäten und Spionage genutzt. CPR hat drei Fälle isoliert und eingehend untersucht, die von einer Spionage-Kampagne bis hin zu Cyber-Kriminalität mit mehreren Links und Tools reichen und beeindruckende Angriffsketten bilden. Eine der bekanntesten Kampagnen, die diese Schwachstelle ausnutzt, wurde möglicherweise von der als APT-C-35 / DoNot Team bekannten Spionagegruppe durchgeführt. Basierend auf der eingesetzten Malware, den an die Bots gesendeten Befehlen und den erhaltenen Opferdaten sind die Täter in der Lage, hybride Kampagnen durchzuführen, die auf Windows- und Android-Geräte abzielen. Das führte teils zu einer Umgehung der Zwei-Faktor-Authentifizierung (2FA). Dieser Exploit wurde auch von verschiedenen Cyber-Kriminellen genutzt, welche die bekanntesten Malware-Familien verbreiten, wie VenomRAT, Agent-Tesla, Remcos, NjRAT, NanoCore RAT.

PDFs führten PowerShell-Befehle zum Download schädlicher Nutzlasten aus

Bei einer anderen Kampagne identifizierte Check Point Research den Threat Actor als @silentkillertv, welcher eine Kampagne mit zwei verketteten PDF-Dateien durchführte, von denen eine auf einer legitimen Website, trello.com), gehostet wurde. Der Bedrohungsakteur verkauft auch bösartige Tools und warb am 27. April für diesen Exploit. Bei den Recherchen stieß CPR auf mehrere Builds, die der Akteur besitzt, um bösartige PDF-Dateien zu erstellen, die diesen Exploit ausnutzen. Die meisten der gesammelten PDFs führten einen PowerShell-Befehl aus, der eine Nutzlast von einem Server herunterlud und dann ausgeführt wurde, obwohl in einigen Fällen auch andere Befehle verwendet wurden.

Dieser Exploit könnte als eine Form von Phishing oder Manipulation eingestuft werden, die auf Foxit PDF Reader-Benutzer abzielt und sie verleitet, gewohnheitsmäßig auf „OK“ zu klicken, ohne die damit verbundenen Risiken zu verstehen. Die Hacker reichen von rudimentärer Cyber-Kriminalität bis hin zu APT-Gruppen. Das Untergrund-Ökosystem nutzt diesen Exploit bereits seit Jahren aus. Bisher blieb er unentdeckt, da die meisten AV- und Sandboxen den Hauptanbieter von PDF-Readern, Adobe, zugrunde legen. Der Infektionserfolg und die niedrige Entdeckungsrate ermöglichen es, bösartige PDFs über viele unkonventionelle Wege, wie Facebook, zu verbreiten, ohne von Erkennungsregeln aufgehalten zu werden. CPR meldete das Problem an Foxit Reader. Die Entwickler bestätigten die Schwachstelle und teilten mit, dass diese in der Version 2024 3 behoben werden würde