Explotan Vulnerabilidad en Foxit PDF Reader para Distribuir Amplio Arsenal de Malware

XPoint
Publicado el 20/05/2024

Diversos actores maliciosos están aprovechando una vulnerabilidad de diseño en Foxit PDF Reader para distribuir una amplia gama de malware, incluyendo Agent Tesla, AsyncRAT, DCRat, NanoCore RAT, NjRAT, Pony, Remcos RAT y XWorm.

«Esta explotación desencadena advertencias de seguridad que podrían engañar a usuarios desprevenidos para ejecutar comandos dañinos», explicó Check Point en un informe técnico. «Esta vulnerabilidad ha sido utilizada por múltiples actores, desde cibercriminales hasta espías».

Cabe destacar que Adobe Acrobat Reader, más común en sandboxes y soluciones antivirus, no es susceptible a esta explotación específica, lo que contribuye a la baja tasa de detección de la campaña.

El problema radica en que la aplicación muestra «OK» como opción predeterminada en una ventana emergente cuando se pide a los usuarios confiar en el documento antes de habilitar ciertas funciones para evitar riesgos de seguridad. Al hacer clic en «OK», se muestra una segunda ventana emergente que advierte que el archivo está a punto de ejecutar comandos adicionales, con «Abrir» como opción predeterminada. El comando activado se utiliza para descargar y ejecutar una carga maliciosa alojada en la red de entrega de contenido (CDN) de Discord.

«Si existía alguna posibilidad de que el usuario leyera el primer mensaje, el segundo sería aceptado sin leerlo», señaló el investigador de seguridad Antonis Terefos. «Los actores de amenazas están aprovechando esta lógica defectuosa y el comportamiento humano común, que proporciona como opción predeterminada la más dañina».

Check Point identificó un documento PDF con temática militar que, al ser abierto con Foxit PDF Reader, ejecutaba un comando para recuperar un descargador que, a su vez, obtenía dos ejecutables para recolectar y subir datos, incluidos documentos, imágenes, archivos comprimidos y bases de datos a un servidor de comando y control (C2).

Un análisis más detallado de la cadena de ataque reveló que el descargador también podría utilizarse para desplegar una tercera carga útil capaz de capturar pantallazos del dispositivo infectado, los cuales se suben al servidor C2. La actividad, orientada hacia el espionaje, se ha vinculado al grupo DoNot Team (también conocido como APT-C-35 y Origami Elephant), debido a similitudes con tácticas y técnicas previamente observadas.

En otro caso, la misma técnica se utiliza en una secuencia de múltiples etapas para desplegar un ladrón de información y dos módulos de minería de criptomonedas como XMRig y lolMiner. Curiosamente, algunos archivos PDF trampa se distribuyen a través de Facebook.

El malware ladrón basado en Python está diseñado para robar credenciales y cookies de los navegadores Chrome y Edge, con los mineros recuperados de un repositorio de GitLab perteneciente a un usuario llamado topworld20241. El repositorio, creado el 17 de febrero de 2024, sigue activo al momento de escribir.

En otro caso documentado, el archivo PDF actúa como un conducto para recuperar desde la CDN de Discord el Blank-Grabber, un ladrón de información de código abierto disponible en GitHub y archivado desde el 6 de agosto de 2023.

«Otro caso interesante ocurrió cuando un PDF malicioso incluía un enlace a un adjunto alojado en trello[.]com», mencionó Terefos. «Al descargarlo, revelaba un segundo archivo PDF que contenía código malicioso, aprovechando esta explotación de los usuarios de Foxit Reader».

La ruta de infección culmina con la entrega de Remcos RAT, pero solo después de pasar por una serie de pasos que implican el uso de archivos LNK, aplicaciones HTML (HTA) y scripts de Visual Basic como pasos intermedios.

El actor detrás de la campaña de Remcos RAT, conocido como silentkillertv, y que afirma ser un hacker ético con más de 22 años de experiencia, ha sido observado anunciando varias herramientas maliciosas a través de un canal de Telegram llamado silent_tools, que incluye crypters y explotaciones de PDF dirigidas a Foxit PDF Reader. El canal fue creado el 21 de abril de 2022.

Check Point también identificó servicios de creación de PDF maliciosos basados en .NET y Python, como Avict Softwares I Exploit PDF, PDF Exploit Builder 2023 y FuckCrypt, utilizados para crear los archivos PDF cargados de malware. Se dice que DoNot Team utilizó un creador de PDF basado en .NET disponible de forma gratuita en GitHub.

El uso de Discord, GitLab y Trello demuestra el continuo abuso de sitios web legítimos por parte de los actores maliciosos para mezclarse con el tráfico de red normal, evadir la detección y distribuir malware. Foxit ha reconocido el problema y se espera que lance una solución en la versión 2024 3. La versión actual es 2024.2.1.25153.

«Si bien esta explotación no encaja en la definición clásica de activar actividades maliciosas, podría categorizarse más acertadamente como una forma de ‘phishing’ o manipulación dirigida a los usuarios de Foxit PDF Reader, incitándolos a hacer clic en ‘OK’ sin comprender los riesgos potenciales involucrados», explicó Terefos. «El éxito de la infección y la baja tasa de detección permiten que los PDFs se distribuyan de muchas maneras no tradicionales, como Facebook, sin ser detenidos por ninguna regla de detección».

Preguntas frecuentes

¿Qué es y para qué sirve un Hacking Ético?

+

El Ethical Hacking, también conocido como hacking ético, implica el uso de habilidades y técnicas similares a las de los hackers maliciosos, pero de manera legal y ética. Los profesionales de la ciberseguridad, conocidos como hackers éticos, utilizan estas habilidades para identificar y resolver vulnerabilidades en sistemas informáticos, redes y aplicaciones de una organización. El objetivo es mejorar la seguridad y proteger los activos digitales al encontrar y corregir fallos de seguridad antes de que sean explotados por ciberdelincuentes. Esta práctica ayuda a fortalecer las defensas cibernéticas, proteger la confidencialidad de la información y cumplir con requisitos regulatorios, además de prevenir pérdidas financieras y daños a la reputación. En resumen, el Ethical Hacking es una herramienta esencial para mitigar los riesgos de seguridad en un entorno digital cada vez más amenazante.

¿Qué es y para qué sirve un Pentesting?

+

El Pentesting, o pruebas de penetración, es una evaluación de seguridad que simula ciberataques controlados contra sistemas y redes de una organización. Realizado por profesionales de seguridad, busca identificar y explotar vulnerabilidades para evaluar la efectividad de las defensas y proporcionar recomendaciones de mejora. Ayuda a prevenir ataques, mejorar la seguridad y cumplir con requisitos normativos. En resumen, es una herramienta vital para fortalecer la seguridad informática de una organización.

¿Qué es y para qué la Seguridad en el Desarrollo Ágil?

+

El Servicio de Seguridad en Ciclo de Desarrollo es un enfoque integral que garantiza la protección de los proyectos de software desde su fase inicial de diseño hasta su implementación final. Esto implica integrar medidas de seguridad en cada etapa del proceso de desarrollo, desde la planificación hasta la entrega del producto. La importancia de este servicio radica en varios aspectos:

  1. Protección temprana contra amenazas: Al abordar la seguridad desde el principio del ciclo de desarrollo, se pueden identificar y mitigar riesgos de seguridad antes de que se conviertan en problemas costosos o críticos en etapas posteriores del proyecto.
  2. Reducción de costos y tiempo: Corregir problemas de seguridad durante las etapas iniciales del desarrollo es más económico y rápido que hacerlo después de que el producto esté en producción. Esto puede ayudar a evitar retrasos en el lanzamiento del producto y ahorros significativos en costos asociados con la corrección de brechas de seguridad.
  3. Cumplimiento normativo: Muchas regulaciones y estándares de la industria requieren que los productos de software cumplan con ciertos requisitos de seguridad y protección de datos. Integrar la seguridad en el ciclo de desarrollo ayuda a garantizar el cumplimiento de estas regulaciones desde el principio, evitando posibles multas y sanciones legales.
  4. Confianza del cliente: La seguridad de los datos y la protección de la privacidad son preocupaciones importantes para los clientes. Al demostrar un compromiso con la seguridad a lo largo de todo el ciclo de desarrollo, las empresas pueden construir y mantener la confianza del cliente en sus productos y servicios.

En resumen, el Servicio de Seguridad en Ciclo de Desarrollo es esencial para garantizar que los productos de software sean seguros, confiables y cumplan con los estándares de seguridad y privacidad, lo que resulta en beneficios tanto para la empresa como para sus clientes.

¿Qué es el Phishing Ético?

+

El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.

Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/

¿Qué es un Red Team en Ciberseguridad?

+

Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.

¿Qué es la Gestión de Vulnerabilidades?

+

La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:

  1. Identificación de Vulnerabilidades
  2. Evaluación de Riesgos
  3. Priorización
  4. Mitigación y Solución
  5. Seguimiento Continuo
  6. Comunicación y Documentación
  7. Formación y Concienciación

La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.

¿Tienes dudas?, contáctanos