Foxit PDF Reader sigurnosna greška u dizajnu

AUTOR ·

Foxit PDF Reader je popularna alternativa Adobe Acrobat Reader softveru, kod kojeg su sigurnosni istraživači kompanije Check Point otkrili grešku u dizajnu koju zlonamjerni akteri iskorišćavaju da isporuče opsežan arsenal zlonamjernog softvera. Ova ranjivost pokreće bezbjednosna upozorenja, potencijalno obmanjujući nesuđene korisnike da izvrše štetne komande.

Foxit

Foxit PDF Reader sigurnosna greška u dizajnu; Source: Bing Image Creator

FOXIT PDF READER

Foxit Software, vodeći konkurent kompaniji Adobe u domenu aplikacija za pregledanje PDF dokumenata, stekao je značajnu pažnju u posljednjih nekoliko godina. Sa više od 700 miliona korisnika raspoređenih u preko 200 zemalja, Foxit PDF Reader je sve popularniji izbor za pojedince i organizacije zbog svojih robusnih funkcija i kompatibilnosti sa različitim platformama (Windows, macOS, Linux, iOS, Android).

Svestranost PDF dokumenata kao standardnog formata za predstavljanje teksta, slika i multimedijalnog sadržaja učinila ih je nezamjenjivim u različitim sektorima kao što su poslovni, akademski, državni i lična upotreba. Foxit Software uspeh može se pripisati njegovoj sposobnosti da zadovolji ovu potražnju dok nudi efikasnu alternativu Adobe Acrobat Reader softveru, lideru u industriji. Međutim, sa velikim uspjehom dolazi i velika odgovornost, pa ova popularnost nije prošla nezapaženo od strane zlonamjernih aktera.

 

Greška u dizajnu

Sigurnosni istraživači su nedavno izvijestili o alarmantnom trendu eksploatacije PDF dokumenata posebno usmjerenom na korisnike Foxit Reader softvera. Ovaj podmukli metod napada uključuje upotrebu posebno kreiranih PDF datoteka koje pokreću bezbjednosna upozorenja dizajnirana da manipulišu korisnicima da izvrše štetne komande. Ovi napadi mogu dovesti do ugrožavanja podataka, krađe identiteta, pa čak i kompromitovanja sistema.

Ranjivost se ne nalazi u osnovnoj funkcionalnosti Foxit PDF Reader softvera, već u načinu na koji korisnici stupaju u interakciju sa bezbjednosnim upozorenjima predstavljenim u aplikaciji. Metoda napada koju koriste zlonamjerni akteri zasniva se na manipulaciji ljudskom psihologijom. Posebno napravljene PDF datoteke sadrže bezbjednosna upozorenja dizajnirana da prevare korisnike da nesvjesno izvršavaju štetne komande. Ova upozorenja se mogu pojaviti kao iskačući prozori ili dijaloški okviri, pozivajući korisnika da dozvoli određene radnje koje potencijalno mogu dovesti do ozbiljnih posljedica.

 

“Ovaj eksploit pokreće bezbjednosna upozorenja koja bi mogla da zavaraju korisnike da izvrše štetne komande. Ovaj eksploit je koristio više zlonamjernih aktera, od e-zločina do špijunaže.”

– Check Point –

 

Sigurnosni istraživači su primijetili da se nekoliko varijanti ove eksploatacije aktivno koriste u kibernetičkom prostoru od strane različitih zlonamjernih aktera u svrhe sajber kriminala i špijunaže. Implikacije ovih napada su dalekosežne, jer mogu dovesti do ugrožavanja osjetljivih informacija ili čak do potpunog kompromitovanja sistema.

Ovu grešku u dizajnu su takođe koristili različiti zlonamjerni akteri koji distribuiraju najistaknutije porodice zlonamjernog softvera kao što su:

 

FUNKCIONISANJE

Sigurnosni istraživači su prikupili mnoštvo zlonamjernih PDF datoteka, koristeći prednost specifične greške u dizajnu usmjerene na korisnike Foxit PDF Reader softvera. Oni su uspjeli nabaviti dovoljnu količinu korisnih tovara različitog porekla, otkrivajući raznovrstan spektar zlonamjernih alata unutar lanca infekcije. Sigurnosni istraživači su izolovali i sproveli detaljno istraživanje o određenim slučajevima u kojima su početni PDF uzorci rezultirali zanimljivim kampanjama. Kroz analizu su pokušali da otkriju jedinstvenu prirodu i mehanizme ovih infekcija.

 

Scenario I

U ovom slučaju, zlonamjerni softver preuzima izvršnu datoteku sa udaljenog servera nakon što ga pokrene „greška u dizajnu“. Preuzeta datoteka prikuplja informacije o uređaju i upisuje ih u “%Appdata%/TestLog/$PC_Name.txt”.

Zlonamjerni softver takođe sadrži šifrovane nizove važne za njegovu funkcionalnost, koji se dešifruju korištenjem prilagođenog algoritma. Zlonamjerni softver komunicira sa serverom za komandu i kontrolu (C&C) preko “hxxps://mailservicess.com/ghijkl/ghijkl/index.php”.

Nakon što bot registruje u C&C, on preuzima dva korisna opterećenja pod nazivom “index.exe” i “upload.exe”, koji se čuvaju u “%Appdata%/Intel/” i izvršavaju se sa vremenskom razlikom jedan od drugog. Prvo korisno opterećenje, “index.exe”, navodi datoteke unutar određenih osnovnih direktorijuma (C:\ , D:\ , E:\ \ , F:\ , G:\ , H:\ , I:\ i Z:\) i kopira datoteke sa ekstenzijom “.bel” u fasciklu “%AppData%/htdocs/” pre kreiranja rezimea svih kopiranih datoteka na “%Appdata%/output.exe”.

Drugi korisni teret, “upload.exe”, otprema datoteke sa u C&C koristeći sličnu mrežnu komunikaciju kao za preuzimanje. Zlonamjerni softver takođe može da ispusti drugu alatku pod nazivom “indexer” u zavisnosti od interesovanja grupe, koja kopira i pravi rezime datoteka od interesa.

 

Scenario II

U ovom slučaju, korisnici se suočavaju sa višestepenim napadom ili lančanom kampanjom gdje je krajnji cilj preuzimanje i izvršavanje Python Loader datoteke koja preuzima kradljivca informacija i dva rudara. Lanac infekcije počinje zlonamjernim PDF dokumentom. Proces počinje kada korisnik otvori datoteku “swift v2.pdf”, koja iskorištava ranjivost u Foxit PDF Reader da preuzme i izvrši zamagljenu Python skriptu. Ova skripta djeluje kao Loader koji preuzima dodatne komponente zlonamjernog softvera.

Ovdje dolazi do preuzimanja korisnog tereta prve faze, gdje Loader datoteka preuzima alat za krađu informacija i Miner dropper, koji su zamagljene Python skripte. Ove skripte ciljaju Chrome i Edge internet pregledače posebno za krađu korisničkih akreditiva i kolačića. Kako bi se obavila komunikacija sa serverom za komandu i kontrolu (C&C), šalje se GET zahtev nakon čega sledi POST zahtev sa ukradenim ličnim identifikacionim podacima. Kod korisnog opterećenja druge faze Loader preuzima dva rudara koristeći PowerShell komande i izvršava ih nakon raspakivanja. Ovi rudari se čuvaju u Gitlab pod korisničkim imenom “@topworld20241”, pri čemu svaka ZIP arhiva sadrži datoteku config.vbs za uputstva i konfiguraciju svakog rudara.

Ukratko, ovaj napad uključuje više faza u kojima početno PDF iskorištavanje dovodi do preuzimanja i Python Loader izvršavanja, gdje on preuzima dodatne komponente zlonamjernog softvera (kradljivca informacija i dva rudara) sa C&C servera. Rudari se zatim izvršavaju pomoću PowerShell komandi nakon što se preuzmu i raspakuju.

 

Scenario III

U ovom slučaju, zlonamjerna PDF datoteka je korišćena kao mehanizam isporuke za Python kradljivac po imenu BlankGrabber. PDF datoteka je izvršila PowerShell komande za preuzimanje zlonamjerne Python skripte iz DiscordApp platforme, čineći da se mrežni saobraćaj čini legitimnim. Ovo je efikasan metod zaobilaženja sistema za otkrivanje pošto se i PDF datoteke i Python skripte obično koriste u legitimnom softveru.

Python datoteke se često zanemaruju kao potencijalne prijetnje zbog njihove povezanosti sa programskim jezicima, a ne sa zlonamjernim softverom. Niska stopa otkrivanja ovog specifičnog Python kradljivaca doprinosi iznenađenju, posebno imajući u vidu da se radi o projektu otvorenog kôda pod nazivom BlankGrabber, a ne o novootkrivenom zlonamjernom softveru. Python kradljivac je funkcionalan, sa različitim mogućnostima kao što su Graphical Builder, UAC zaobilaženje, detekcija virtuelnih mašina i krađa podataka iz popularnih internet pregledača i aplikacija.

Prisustvo detekcije virtuelnih mašina u BlankGrabber kradljivcu čini još izazovnijim analiziranje zlonamjernog softvera u virtuelnim okruženjima ili izolovanim okruženjima (eng. sandboxes). Ove tehnike pomažu zlonamjernom softveru da izbjegne otkrivanje tako što identifikuje da li se pokreće unutar simuliranog okruženja, obezbeđujući njegovu kontinuiranu efikasnost u napadima u stvarnom svetu.

 

Scenario IV

U ovom slučaju, zlonamjerni akter koji se krije iza nadimka “@Silentkillertv” je sproveo kampanju napada koja je uključivala više datoteka i faza. Lanac napada je bio impresivan po svojoj složenosti, pošto je više od 10 datoteka odbačeno tokom procesa infekcije da bi se žrtva na kraju zarazila konačnim teretom – Remcos RAT zlonamjernim softverom. Žrtve su mamljenje u ovaj napad preko zlonamjerne veze u elektronskoj pošti ili poruci. Kada su kliknuli na vezu, dobili su drugu PDF datoteku koja se nalazila na trello.com – legitimnoj internet lokaciji koju su zlonamjerni akteri iskoristili za distribuciju zlonamjernog softvera.

Početna faza lanca infekcije uključivala je izvršavanje DynamicWrapperX Loader zlonamjernog programa za učitavanje, prikrivenog kao AUTOUPDATESTART.dll. Ovaj učitavač je sadržao shellcode koji je, nakon ubrizgavanja u Loader, dešifrovao i izvršio zlonamjernu izvršnu datoteku – Remcos RAT. Komandni i kontrolni server za konkretnu instancu Remcos RAT zlonamjernog softvera se nalazio se na adresi 139.99.85[.]106:2404, radi pod bot imenom “Telegram : @Silentkillertv”.

Pored toga, @Silentkillertv je primijećen kako prodaje druge zlonamjerne alate preko Telegrama kanala. Zlonamjerni akter je objavio PDF Exploit  koji cilja na Foxit PDF Reader i tvrdi da “100% zaobilaženja antivirusa”, ​​kao i mogućnost da zaobiđe “Gmail, Yahoo, Facebook i Hotmail ograničenja dijeljenja datoteka”.

 

ZAKLJUČAK

U Foxit PDF Reader softveru postoji greška u dizajnu koja omogućava zlonamjernim akterima da izvršavaju zlonamjerne komande iskorišćavanjem podrazumijevanih opcija aplikacije za rukovanje određenim tipovima datoteka ili veza. Specifični napad uključuje korištenje posebno pripremljenih  PDF dokumenta smještenih na serveru za komandu i kontrolu (C&C), koji preuzimaju potencijalne žrtve koje su prevarene da kliknu na vezu ili ignorišu bezbjednosna upozorenja. Kada se PDF otvori u Foxit PDF Reader softveru, zlonamjerni softver koji se nalazi u njemu pokreće eksploataciju, što za rezultat ima izvršavanje preuzete izvršne datoteke i prikupljanjem informacija o uređaju.

Kompanija Foxit je obaviještena od strane sigurnosnih istraživača koji su dali svoje preporuke za rješavanje ove greška u dizajnu, a kompanija je najavila da će napraviti ispravak u verziji 2024 3. Sada ostaje da se vidi na koji će način kompanija Foxit izvršiti ispravak.

 

ZAŠTITA

Da bi se korisnici zaštitili od iskorištavanja ove greške u dizajnu od greške u Foxit PDF Reader softveru koja omogućava napadačima da isporuče zlonamjerni softver putem posebno pripremljenih  PDF dokumenata, korisnici i organizacije mogu da preduzmu sljedeće korake:

  1. Osigurati da se koristi najnovija verzija Foxit PDF Reader softvera instalirana na svim uređajima. Kompanija Foxit je priznala problem i planira da ga riješi u budućem ažuriranju (verzija 2024 3),
  2. Potrebno je biti oprezan kada se otvaraju PDF datoteke. Otvarati samo PDF datoteke iz pouzdanih izvora i izbjegavati otvaranje PDF datoteka ako nisu očekivane ili su neočekivano priložene elektronskoj pošti. Provjeriti naziv datoteke, informacije o pošiljaocu i metapodatke u potrazi za sumnjivim indikatorima prije otvaranja PDF datoteka,
  3. Omogućiti “Reader Protected Mode” unutar Foxit PDF Reader softvera koji ograničava određene radnje unutar PDF datoteka, kao što su pokretanje skripti ili makroa. Ovo može pomoći da se spriječi izvršavanje zlonamjernog kôda prilikom otvaranja posebno pripremljene zlonamjerne PDF datoteke. Ovo se može omogućiti odlaskom na Edit, pa izabrati Preferences > Security Settings > Enable Reader Protection Mode,
  4. Osigurati da su svi korisnički uređaji zaštićeni renomiranim antivirusnim softverom koji može da otkrije i blokira zlonamjerni softver koji se isporučuje putem posebno pripremljenih PDF datoteka. Redovno ažurirati antivirusni softver kako bi se osiguralo da može da zaštiti uređaje od najnovijih prijetnji,
  5. Vršiti edukaciju korisnika o napadima društvenog inženjeringa, pošto se mnogi napadi oslanjaju na prevaru korisnika da preduzmu radnje koje inače ne bi preduzeli. Obezbijediti redovnu obuku i podsjetnike za zaposlene ili članove porodice o važnosti opreza pri interakciji sa digitalnim sadržajem iz nepoznatih izvora,
  6. U krajnjem slučaju, zbog zabrinutosti za korišćenje Foxit PDF Reader softvera zbog ove ranjivosti, korisnici mogu razmisliti o prelasku na alternativni PDF čitač koji ima bolje rezultate u pogledu bezbjednosnih ažuriranja i funkcija.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.