資安業者Check Point針對濫用Foxit PDF Reader設計邏輯弱點的攻擊行動提出警告,並指出有多組人馬利用特製的PDF檔案,將其用來發動實際攻擊行動,散佈Agent Tesla、Remcos RAT、XWorm等多種惡意程式
他們也特別詳細展示使用者上鉤的場景:當使用者開啟對方提供的PDF檔案後,Foxit PDF Reader會彈出訊息說明部分功能因資安風險考量已被停用,詢問用戶是否暫時開啟相關功能,若不慎按下確定,就會彈出第2則訊息。
而這個彈出式視窗的內容,其實是PDF檔案要求執行特定的應用程式,若按下預設的OK鍵,就會允許電腦執行攻擊者想要啟動的作案工具,觸發對方設計的攻擊鏈。
在其中一波攻擊行動裡,駭客散佈與軍事有關的PDF檔案,一旦使用者開啟檔案並同意放行開啟特定程式,電腦就會取得惡意程式下載工具並執行,然後被植入兩款惡意酬載,導致電腦內部資料外洩。這起攻擊行動在4月5日達到高峰,研究人員指出攻擊者的身分是DoNot Team(APT-C-35)。
另一波攻擊行動疑似鎖定美國用戶,使用者打開對方提供的PDF檔案並進行操作,電腦就會可能被植入第一階段酬載,接著觸發一系列的惡意軟體感染流程,最終於受害電腦部署竊資軟體,以及挖礦程式XMRig、lolMiner。
研究人員指出,雖然這種型態的弱點,同時帶有對使用者進行網路釣魚的成分,引誘他們根據習慣直接點選確定而上當,但有鑑於濫用這種手法的情況近期不斷上演,Foxit接獲他們的通報後,也承諾計畫在後續的2024.3版進行處理。
但為何這種攻擊過往鮮少被發現?研究人員表示有2個原因,首先是大部分對於PDF檢視器的攻擊,都是針對Acrobat Reader而來,再者,則是大多數的沙箱及資安研究人員,也都是利用Acrobat Reader觸發惡意程式,而該PDF檢視器不易受到這種弱點影響。
