{"id":6664,"date":"2024-05-25T16:19:03","date_gmt":"2024-05-25T14:19:03","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=6664"},"modified":"2024-05-25T16:19:03","modified_gmt":"2024-05-25T14:19:03","slug":"foxit-pdf-reader-sigurnosna-greska-u-dizajnu","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2024\/05\/25\/foxit-pdf-reader-sigurnosna-greska-u-dizajnu\/","title":{"rendered":"Foxit PDF Reader sigurnosna gre\u0161ka u dizajnu"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\"><em>Foxit<\/em> <em>PDF<\/em> <em>Reader <\/em>je popularna alternativa <em>Adobe Acrobat Reader <\/em>softveru, kod kojeg su <a href=\"https:\/\/sajberinfo.com\/2022\/02\/27\/hakeri-eticki-hakeri-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">sigurnosni istra\u017eiva\u010di<\/a> kompanije <em>Check<\/em> <em>Point<\/em> <a href=\"https:\/\/research.checkpoint.com\/2024\/foxit-pdf-flawed-design-exploitation\/\" target=\"_blank\" rel=\"noopener\">otkrili gre\u0161ku u dizajnu<\/a> koju <a href=\"https:\/\/sajberinfo.com\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni akteri<\/a> iskori\u0161\u0107avaju da isporu\u010de opse\u017ean arsenal <a href=\"https:\/\/sajberinfo.com\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernog softvera<\/a>. Ova ranjivost pokre\u0107e bezbjednosna upozorenja, potencijalno obmanjujuc\u0301i nesu\u0111ene korisnike da izvr\u0161e \u0161tetne komande.<\/span><\/p>\n<div id=\"attachment_6665\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-6665\" class=\"size-full wp-image-6665\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/Foxit-PDF-Reader.jpg\" alt=\"Foxit\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/Foxit-PDF-Reader.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/Foxit-PDF-Reader-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/Foxit-PDF-Reader-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/Foxit-PDF-Reader-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/Foxit-PDF-Reader-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/Foxit-PDF-Reader-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/Foxit-PDF-Reader-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-6665\" class=\"wp-caption-text\"><em>Foxit PDF Reader sigurnosna gre\u0161ka u dizajnu; Source: Bing Image Creator<\/em><\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/25\/foxit-pdf-reader-sigurnosna-greska-u-dizajnu\/#FOXIT_PDF_READER\">FOXIT PDF READER<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/25\/foxit-pdf-reader-sigurnosna-greska-u-dizajnu\/#Greska_u_dizajnu\">Gre\u0161ka u dizajnu<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/25\/foxit-pdf-reader-sigurnosna-greska-u-dizajnu\/#FUNKCIONISANJE\">FUNKCIONISANJE<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/25\/foxit-pdf-reader-sigurnosna-greska-u-dizajnu\/#Scenario_I\">Scenario I<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/25\/foxit-pdf-reader-sigurnosna-greska-u-dizajnu\/#Scenario_II\">Scenario II<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/25\/foxit-pdf-reader-sigurnosna-greska-u-dizajnu\/#Scenario_III\">Scenario III<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/25\/foxit-pdf-reader-sigurnosna-greska-u-dizajnu\/#Scenario_IV\">Scenario IV<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/25\/foxit-pdf-reader-sigurnosna-greska-u-dizajnu\/#ZAKLJUCAK\">ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/25\/foxit-pdf-reader-sigurnosna-greska-u-dizajnu\/#ZASTITA\">ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"FOXIT_PDF_READER\"><\/span><strong><span style=\"font-size: 14pt;\"><em>FOXIT PDF READER<\/em><\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>Foxit<\/em> Software, vode\u0107i konkurent kompaniji <em>Adobe<\/em> u domenu aplikacija za pregledanje <em>PDF<\/em> dokumenata, stekao je zna\u010dajnu pa\u017enju u posljednjih nekoliko godina. Sa vi\u0161e od 700 miliona korisnika raspore\u0111enih u preko 200 zemalja, <em>Foxit<\/em> <em>PDF<\/em> <em>Reader<\/em> je sve popularniji izbor za pojedince i organizacije zbog svojih robusnih funkcija i kompatibilnosti sa razli\u010ditim platformama (<em>Windows, macOS, Linux, iOS, Android<\/em>).<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Svestranost <em>PDF<\/em> dokumenata kao standardnog formata za predstavljanje teksta, slika i multimedijalnog sadr\u017eaja u\u010dinila ih je nezamjenjivim u razli\u010ditim sektorima kao \u0161to su poslovni, akademski, dr\u017eavni i li\u010dna upotreba. <em>Foxit<\/em> Software uspeh mo\u017ee se pripisati njegovoj sposobnosti da zadovolji ovu potra\u017enju dok nudi efikasnu alternativu <em>Adobe Acrobat Reader <\/em>softveru, lideru u industriji. Me\u0111utim, sa velikim uspjehom dolazi i velika odgovornost, pa ova popularnost nije pro\u0161la nezapa\u017eeno od strane zlonamjernih aktera.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Greska_u_dizajnu\"><\/span><strong><span style=\"font-size: 14pt;\">Gre\u0161ka u dizajnu<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Sigurnosni istra\u017eiva\u010di su nedavno izvijestili o alarmantnom trendu eksploatacije <em>PDF<\/em> dokumenata posebno usmjerenom na korisnike <em>Foxit<\/em> <em>Reader <\/em>softvera. Ovaj podmukli metod napada uklju\u010duje upotrebu posebno kreiranih <em>PDF<\/em> datoteka koje pokre\u0107u bezbjednosna upozorenja dizajnirana da manipuli\u0161u korisnicima da izvr\u0161e \u0161tetne komande. Ovi napadi mogu dovesti do ugro\u017eavanja podataka, <a href=\"https:\/\/sajberinfo.com\/2023\/11\/07\/identity-theft\/\" target=\"_blank\" rel=\"nofollow noopener\">kra\u0111e identiteta<\/a>, pa \u010dak i kompromitovanja sistema.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Ranjivost se ne nalazi u osnovnoj funkcionalnosti <em>Foxit<\/em> <em>PDF<\/em> <em>Reader<\/em> softvera, ve\u0107 u na\u010dinu na koji korisnici stupaju u interakciju sa bezbjednosnim upozorenjima predstavljenim u aplikaciji. Metoda napada koju koriste zlonamjerni akteri zasniva se na manipulaciji ljudskom psihologijom. Posebno napravljene <em>PDF<\/em> datoteke sadr\u017ee bezbjednosna upozorenja dizajnirana da prevare korisnike da nesvjesno izvr\u0161avaju \u0161tetne komande. Ova upozorenja se mogu pojaviti kao iska\u010duc\u0301i prozori ili dijalo\u0161ki okviri, pozivaju\u0107i korisnika da dozvoli odre\u0111ene radnje koje potencijalno mogu dovesti do ozbiljnih posljedica.<\/span><\/p>\n<p>&nbsp;<\/p>\n<blockquote><p><span style=\"font-size: 14pt;\"><em>\u201cOvaj eksploit pokre\u0107e bezbjednosna upozorenja koja bi mogla da zavaraju korisnike da izvr\u0161e \u0161tetne komande. Ovaj eksploit je koristio vi\u0161e zlonamjernih aktera, od e-zlo\u010dina do \u0161pijuna\u017ee.\u201d<\/em><\/span><\/p>\n<p style=\"text-align: right;\"><span style=\"font-size: 14pt;\"><em>&#8211; Check Point &#8211;<\/em><\/span><\/p>\n<\/blockquote>\n<p>&nbsp;<\/p>\n<p><span style=\"font-size: 14pt;\">Sigurnosni istra\u017eiva\u010di su primijetili da se nekoliko varijanti ove eksploatacije aktivno koriste u kiberneti\u010dkom prostoru od strane razli\u010ditih zlonamjernih aktera u svrhe sajber kriminala i \u0161pijuna\u017ee. Implikacije ovih napada su dalekose\u017ene, jer mogu dovesti do ugro\u017eavanja osjetljivih informacija ili \u010dak do potpunog kompromitovanja sistema.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Ovu gre\u0161ku u dizajnu su tako\u0111e koristili razli\u010diti zlonamjerni akteri koji distribuiraju najistaknutije porodice zlonamjernog softvera kao \u0161to su:<\/span><\/p>\n<ul>\n<li><span style=\"font-size: 14pt;\"><a href=\"https:\/\/sajberinfo.com\/2024\/05\/02\/venomrat-phishing-kampanja\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>VenomRAT<\/em><\/a><\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><a href=\"https:\/\/sajberinfo.com\/2024\/04\/02\/agent-tesla-phishing-kampanja\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>Agent-Tesla<\/em><\/a><\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><a href=\"https:\/\/sajberinfo.com\/2024\/03\/24\/remcos-rat-svuda\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>Remcos<\/em><\/a><\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>NjRAT<\/em><\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>NanoCore RAT<\/em><\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>Pony<\/em><\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><a href=\"https:\/\/sajberinfo.com\/2023\/05\/02\/xworm-rat-se-siri-preko-elektronske-poste\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>Xworm<\/em><\/a><\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><a href=\"https:\/\/sajberinfo.com\/2024\/02\/10\/asyncrat-zloupotrebljava-javascript\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>AsyncRAT<\/em><\/a><\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>DCRat<\/em><\/span><\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"FUNKCIONISANJE\"><\/span><strong><span style=\"font-size: 14pt;\">FUNKCIONISANJE<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Sigurnosni istra\u017eiva\u010di su prikupili mno\u0161tvo zlonamjernih <em>PDF<\/em> datoteka, koriste\u0107i prednost specifi\u010dne gre\u0161ke u dizajnu usmjerene na korisnike <em>Foxit<\/em> <em>PDF<\/em> <em>Reader<\/em> softvera. Oni su uspjeli nabaviti dovoljnu koli\u010dinu <a href=\"https:\/\/sajberinfo.com\/2023\/04\/11\/payload\/\" target=\"_blank\" rel=\"nofollow noopener\">korisnih tovara<\/a> razli\u010ditog porekla, otkrivaju\u0107i raznovrstan spektar zlonamjernih alata unutar lanca infekcije. Sigurnosni istra\u017eiva\u010di su izolovali i sproveli detaljno istra\u017eivanje o odre\u0111enim slu\u010dajevima u kojima su po\u010detni <em>PDF<\/em> uzorci rezultirali zanimljivim kampanjama. Kroz analizu su poku\u0161ali da otkriju jedinstvenu prirodu i mehanizme ovih infekcija.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Scenario_I\"><\/span><strong><span style=\"font-size: 14pt;\">Scenario I<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">U ovom slu\u010daju, zlonamjerni softver preuzima izvr\u0161nu datoteku sa udaljenog servera nakon \u0161to ga pokrene \u201e<em>gre\u0161ka u dizajnu<\/em>\u201c. Preuzeta datoteka prikuplja informacije o ure\u0111aju i upisuje ih u \u201c<em>%Appdata%\/TestLog\/$PC_Name.txt<\/em>\u201d.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Zlonamjerni softver tako\u0111e sadr\u017ei <a href=\"https:\/\/sajberinfo.com\/2022\/03\/20\/enkripcija-podataka-istorija-i-osnove-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifrovane<\/a> nizove va\u017ene za njegovu funkcionalnost, koji se de\u0161ifruju kori\u0161tenjem prilago\u0111enog algoritma. Zlonamjerni softver komunicira sa serverom za komandu i kontrolu (C&amp;C) preko \u201c<em>hxxps:\/\/mailservicess.com\/ghijkl\/ghijkl\/index.php<\/em>\u201d.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Nakon \u0161to bot registruje u <em>C&amp;C<\/em>, on preuzima dva korisna optere\u0107enja pod nazivom \u201c<em>index.exe<\/em>\u201d i \u201c<em>upload.exe<\/em>\u201d, koji se \u010duvaju u \u201c<em>%Appdata%\/Intel\/<\/em>\u201d i izvr\u0161avaju se sa vremenskom razlikom jedan od drugog. Prvo korisno optere\u0107enje, \u201c<em>index.exe<\/em>\u201d, navodi datoteke unutar odre\u0111enih osnovnih direktorijuma (<em>C:\\ , D:\\ , E:\\ \\ , F:\\ , G:\\ , H:\\ , I:\\ <\/em>i<em> Z:\\<\/em>) i kopira datoteke sa ekstenzijom \u201c<em>.bel<\/em>\u201d u fasciklu \u201c<em>%AppData%\/htdocs\/<\/em>\u201d pre kreiranja rezimea svih kopiranih datoteka na \u201c<em>%Appdata%\/output.exe<\/em>\u201d.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Drugi korisni teret, \u201c<em>upload.exe<\/em>\u201d, otprema datoteke sa u <em>C&amp;C<\/em> koriste\u0107i sli\u010dnu mre\u017enu komunikaciju kao za preuzimanje. Zlonamjerni softver tako\u0111e mo\u017ee da ispusti drugu alatku pod nazivom \u201c<em>indexer<\/em>\u201d u zavisnosti od interesovanja grupe, koja kopira i pravi rezime datoteka od interesa.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Scenario_II\"><\/span><strong><span style=\"font-size: 14pt;\">Scenario II<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">U ovom slu\u010daju, korisnici se suo\u010davaju sa vi\u0161estepenim napadom ili lan\u010danom kampanjom gdje je krajnji cilj preuzimanje i izvr\u0161avanje <em>Python Loader<\/em> datoteke koja preuzima kradljivca informacija i dva rudara. Lanac infekcije po\u010dinje zlonamjernim <em>PDF<\/em> dokumentom. Proces po\u010dinje kada korisnik otvori datoteku \u201c<em>swift v2.pdf<\/em>\u201d, koja iskori\u0161tava ranjivost u <em>Foxit<\/em> <em>PDF<\/em> <em>Reader<\/em> da preuzme i izvr\u0161i zamagljenu <em>Python<\/em> skriptu. Ova skripta djeluje kao <em>Loader<\/em> koji preuzima dodatne komponente zlonamjernog softvera.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Ovdje dolazi do preuzimanja korisnog tereta prve faze, gdje <em>Loader <\/em>datoteka preuzima alat za kra\u0111u informacija i <em>Miner<\/em> <em>dropper<\/em>, koji su zamagljene Python skripte. Ove skripte ciljaju <em>Chrome<\/em> i <em>Edge<\/em> internet pregleda\u010de posebno za kra\u0111u korisni\u010dkih akreditiva i kola\u010di\u0107a. Kako bi se obavila komunikacija sa serverom za komandu i kontrolu (<em>C&amp;C<\/em>), \u0161alje se <em>GET<\/em> zahtev nakon \u010dega sledi <em>POST<\/em> zahtev sa ukradenim li\u010dnim identifikacionim podacima. Kod korisnog optere\u0107enja druge faze <em>Loader<\/em> preuzima dva rudara koriste\u0107i <em>PowerShell<\/em> komande i izvr\u0161ava ih nakon raspakivanja. Ovi rudari se \u010duvaju u <em>Gitlab<\/em> pod korisni\u010dkim imenom \u201c<em>@topworld20241<\/em>\u201d, pri \u010demu svaka <em>ZIP<\/em> arhiva sadr\u017ei datoteku <em>config.vbs<\/em> za uputstva i konfiguraciju svakog rudara.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Ukratko, ovaj napad uklju\u010duje vi\u0161e faza u kojima po\u010detno <em>PDF<\/em> iskori\u0161tavanje dovodi do preuzimanja i <em>Python Loader <\/em>izvr\u0161avanja, gdje on preuzima dodatne komponente zlonamjernog softvera (kradljivca informacija i dva rudara) sa <em>C&amp;C<\/em> servera. Rudari se zatim izvr\u0161avaju pomo\u0107u <em>PowerShell<\/em> komandi nakon \u0161to se preuzmu i raspakuju.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Scenario_III\"><\/span><strong><span style=\"font-size: 14pt;\">Scenario III<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">U ovom slu\u010daju, zlonamjerna <em>PDF<\/em> datoteka je kori\u0161\u0107ena kao mehanizam isporuke za <em>Python<\/em> kradljivac po imenu <em>BlankGrabber<\/em>. <em>PDF<\/em> datoteka je izvr\u0161ila <em>PowerShell<\/em> komande za preuzimanje zlonamjerne <em>Python<\/em> skripte iz <em>DiscordApp <\/em>platforme, \u010dine\u0107i da se mre\u017eni saobra\u0107aj \u010dini legitimnim. Ovo je efikasan metod zaobila\u017eenja sistema za otkrivanje po\u0161to se i <em>PDF<\/em> datoteke i <em>Python<\/em> skripte obi\u010dno koriste u legitimnom softveru.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>Python<\/em> datoteke se \u010desto zanemaruju kao potencijalne prijetnje zbog njihove povezanosti sa programskim jezicima, a ne sa zlonamjernim softverom. Niska stopa otkrivanja ovog specifi\u010dnog <em>Python<\/em> kradljivaca doprinosi iznena\u0111enju, posebno imaju\u0107i u vidu da se radi o projektu otvorenog k\u00f4da pod nazivom <em>BlankGrabber<\/em>, a ne o novootkrivenom zlonamjernom softveru. <em>Python<\/em> kradljivac je funkcionalan, sa razli\u010ditim mogu\u0107nostima kao \u0161to su <em>Graphical<\/em> <em>Builder<\/em>, <em>UAC<\/em> zaobila\u017eenje, detekcija virtuelnih ma\u0161ina i kra\u0111a podataka iz popularnih internet pregleda\u010da i aplikacija.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Prisustvo detekcije virtuelnih ma\u0161ina u <em>BlankGrabber<\/em> kradljivcu \u010dini jo\u0161 izazovnijim analiziranje zlonamjernog softvera u virtuelnim okru\u017eenjima ili izolovanim okru\u017eenjima (eng. <em>sandboxes<\/em>). Ove tehnike poma\u017eu zlonamjernom softveru da izbjegne otkrivanje tako \u0161to identifikuje da li se pokre\u0107e unutar simuliranog okru\u017eenja, obezbe\u0111uju\u0107i njegovu kontinuiranu efikasnost u napadima u stvarnom svetu.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Scenario_IV\"><\/span><strong><span style=\"font-size: 14pt;\">Scenario IV<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">U ovom slu\u010daju, zlonamjerni akter koji se krije iza nadimka \u201c<em>@Silentkillertv<\/em>\u201d je sproveo kampanju napada koja je uklju\u010divala vi\u0161e datoteka i faza. Lanac napada je bio impresivan po svojoj slo\u017eenosti, po\u0161to je vi\u0161e od 10 datoteka odba\u010deno tokom procesa infekcije da bi se \u017ertva na kraju zarazila kona\u010dnim teretom \u2013 <em>Remcos RAT<\/em> zlonamjernim softverom. \u017drtve su mamljenje u ovaj napad preko zlonamjerne veze u elektronskoj po\u0161ti ili poruci. Kada su kliknuli na vezu, dobili su drugu <em>PDF<\/em> datoteku koja se nalazila na <em>trello.com<\/em> \u2013 legitimnoj internet lokaciji koju su zlonamjerni akteri iskoristili za distribuciju zlonamjernog softvera.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Po\u010detna faza lanca infekcije uklju\u010divala je izvr\u0161avanje <em>DynamicWrapperX Loader <\/em>zlonamjernog programa za u\u010ditavanje, prikrivenog kao <em>AUTOUPDATESTART.dll<\/em>. Ovaj u\u010ditava\u010d je sadr\u017eao <em>shellcode<\/em> koji je, nakon ubrizgavanja u <em>Loader<\/em>, de\u0161ifrovao i izvr\u0161io zlonamjernu izvr\u0161nu datoteku \u2013 <em>Remcos RAT<\/em>. Komandni i kontrolni server za konkretnu instancu <em>Remcos RAT<\/em> zlonamjernog softvera se nalazio se na adresi <em>139.99.85[.]106:2404<\/em>, radi pod bot imenom \u201c<em>Telegram : @Silentkillertv<\/em>\u201d.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Pored toga, <em>@Silentkillertv<\/em> je primije\u0107en kako prodaje druge zlonamjerne alate preko <em>Telegrama<\/em> kanala. Zlonamjerni akter je objavio <em>PDF<\/em> <em>Exploit<\/em>\u00a0 koji cilja na <em>Foxit PDF Reader<\/em> i tvrdi da \u201c<em>100% zaobila\u017eenja antivirusa<\/em>\u201d, \u200b\u200bkao i mogu\u0107nost da zaobi\u0111e \u201c<em>Gmail<\/em>, <em>Yahoo<\/em>, <em>Facebook<\/em> i <em>Hotmail<\/em> ograni\u010denja dijeljenja datoteka\u201d.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><strong><span style=\"font-size: 14pt;\">ZAKLJU\u010cAK<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">U <em>Foxit PDF Reader<\/em> softveru postoji gre\u0161ka u dizajnu koja omogu\u0107ava zlonamjernim akterima da izvr\u0161avaju zlonamjerne komande iskori\u0161\u0107avanjem podrazumijevanih opcija aplikacije za rukovanje odre\u0111enim tipovima datoteka ili veza. Specifi\u010dni napad uklju\u010duje kori\u0161tenje posebno pripremljenih\u00a0 <em>PDF<\/em> dokumenta smje\u0161tenih na serveru za komandu i kontrolu (<em>C&amp;C<\/em>), koji preuzimaju potencijalne \u017ertve koje su prevarene da kliknu na vezu ili ignori\u0161u bezbjednosna upozorenja. Kada se <em>PDF<\/em> otvori u <em>Foxit PDF Reader<\/em> softveru, zlonamjerni softver koji se nalazi u njemu pokre\u0107e eksploataciju, \u0161to za rezultat ima izvr\u0161avanje preuzete izvr\u0161ne datoteke i prikupljanjem informacija o ure\u0111aju.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Kompanija <em>Foxit<\/em> je obavije\u0161tena od strane sigurnosnih istra\u017eiva\u010da koji su dali svoje preporuke za rje\u0161avanje ove gre\u0161ka u dizajnu, a kompanija je najavila da \u0107e napraviti ispravak u verziji <em>2024 3<\/em>. Sada ostaje da se vidi na koji \u0107e na\u010din kompanija <em>Foxit<\/em> izvr\u0161iti ispravak.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><strong><span style=\"font-size: 14pt;\">ZA\u0160TITA<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Da bi se korisnici za\u0161titili od iskori\u0161tavanja ove gre\u0161ke u dizajnu od gre\u0161ke u <em>Foxit PDF Reader<\/em> softveru koja omogu\u0107ava napada\u010dima da isporu\u010de zlonamjerni softver putem posebno pripremljenih\u00a0 <em>PDF<\/em> dokumenata, korisnici i organizacije mogu da preduzmu sljede\u0107e korake:<\/span><\/p>\n<ol>\n<li><span style=\"font-size: 14pt;\">Osigurati da se koristi najnovija verzija <em>Foxit PDF Reader<\/em> softvera instalirana na svim ure\u0111ajima. Kompanija <em>Foxit<\/em> je priznala problem i planira da ga rije\u0161i u budu\u0107em a\u017euriranju (verzija <em>2024 3<\/em>),<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Potrebno je biti oprezan kada se otvaraju <em>PDF<\/em> datoteke. Otvarati samo <em>PDF<\/em> datoteke iz pouzdanih izvora i izbjegavati otvaranje <em>PDF<\/em> datoteka ako nisu o\u010dekivane ili su neo\u010dekivano prilo\u017eene elektronskoj po\u0161ti. Provjeriti naziv datoteke, informacije o po\u0161iljaocu i metapodatke u potrazi za sumnjivim indikatorima prije otvaranja <em>PDF<\/em> datoteka,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Omogu\u0107iti \u201c<em>Reader Protected Mode<\/em>\u201d unutar <em>Foxit PDF Reader<\/em> softvera koji ograni\u010dava odre\u0111ene radnje unutar <em>PDF<\/em> datoteka, kao \u0161to su pokretanje skripti ili makroa. Ovo mo\u017ee pomo\u0107i da se sprije\u010di izvr\u0161avanje zlonamjernog k\u00f4da prilikom otvaranja posebno pripremljene zlonamjerne <em>PDF<\/em> datoteke. Ovo se mo\u017ee omogu\u0107iti odlaskom na <em>Edit<\/em>, pa izabrati <em>Preferences<\/em> &gt; <em>Security<\/em> <em>Settings<\/em> &gt; <em>Enable<\/em> <em>Reader<\/em> <em>Protection<\/em> <em>Mode<\/em>,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Osigurati da su svi korisni\u010dki ure\u0111aji za\u0161ti\u0107eni renomiranim <a href=\"https:\/\/sajberinfo.com\/2021\/08\/17\/antivirusni-softver\/\" target=\"_blank\" rel=\"nofollow noopener\">antivirusnim softverom<\/a> koji mo\u017ee da otkrije i blokira zlonamjerni softver koji se isporu\u010duje putem posebno pripremljenih <em>PDF<\/em> datoteka. Redovno a\u017eurirati antivirusni softver kako bi se osiguralo da mo\u017ee da za\u0161titi ure\u0111aje od najnovijih prijetnji,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Vr\u0161iti edukaciju korisnika o napadima dru\u0161tvenog in\u017eenjeringa, po\u0161to se mnogi napadi oslanjaju na prevaru korisnika da preduzmu radnje koje ina\u010de ne bi preduzeli. Obezbijediti redovnu obuku i podsjetnike za zaposlene ili \u010dlanove porodice o va\u017enosti opreza pri interakciji sa digitalnim sadr\u017eajem iz nepoznatih izvora,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">U krajnjem slu\u010daju, zbog zabrinutosti za kori\u0161\u0107enje <em>Foxit PDF Reader<\/em> softvera zbog ove ranjivosti, korisnici mogu razmisliti o prelasku na alternativni <em>PDF<\/em> \u010dita\u010d koji ima bolje rezultate u pogledu bezbjednosnih a\u017euriranja i funkcija.<\/span><\/li>\n<\/ol>\n","protected":false},"excerpt":{"rendered":"<p>Foxit PDF Reader je popularna alternativa Adobe Acrobat Reader softveru, kod kojeg su sigurnosni istra\u017eiva\u010di kompanije Check Point otkrili gre\u0161ku u dizajnu koju zlonamjerni akteri iskori\u0161\u0107avaju da isporu\u010de opse\u017ean arsenal zlonamjernog softvera. Ova ranjivost&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":6665,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[939,490,1347,1340,1346,1339,1107,1103,1343,470,1348,1321,1344,1318,282,609,1341,1342,1345],"class_list":["post-6664","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-agent-tesla","tag-asyncrat","tag-cryptocurrency-miner","tag-custom-algorithm","tag-dcrat","tag-foxit-pdf-reader","tag-information-stealer","tag-malicious-payloads","tag-nanocore-rat","tag-njrat","tag-pdf-exploit","tag-phishing-attack","tag-pony","tag-remcos","tag-remote-access-trojan","tag-social-engineering","tag-suspicious-pdfs","tag-venom-rat","tag-xworm"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6664","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=6664"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6664\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/6665"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=6664"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=6664"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=6664"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}