Foxit PDF Reader 设计缺陷使用户容易受到攻击

虽然Adobe Acrobat Reader 占据市场主导地位，但Foxit Reader 已成为重要参与者，在全球拥有超过7 亿用户，其中包括政府和技术领域的主要客户。

当用户打开已更改的PDF 文件时，该漏洞会触发安全警告。如果粗心的用户两次使用默认选项（这是最有害的），则该漏洞可以从远程服务器下载并执行有效负载。

研究人员表示：“成功的感染和低检测率使得恶意PDF 可以通过许多非传统手段（例如Facebook）传播，而不会被任何检测规则阻止。”

受害者场景如下所示：打开文件时，我们遇到第一个弹出窗口，其中包含默认选项“信任一次”，这是正确的方法。

“单击‘确定’后，目标将出现第二个弹出窗口。如果目标用户有机会阅读第一条消息，则第二条消息将‘同意’而无需阅读。在这种情况下，威胁行为者正在利用此漏洞有缺陷的逻辑和常见的人类行为，提供了最“有害”的默认选项。”

默认选项触发恶意命令

该漏洞具有广泛的用途，从间谍活动到电子犯罪，具有多个链接和工具，可实现令人印象深刻的攻击链。

在一个实例中，标记为APT-C-35/DoNot Team 的攻击者获得了针对Windows 和Android 设备执行混合活动的能力，“这也导致双因素身份验证(2FA) 被绕过”。

研究人员表示：“各种网络犯罪分子还利用此漏洞传播最著名的恶意软件系列，例如VenomRAT、Agent-Tesla、Remcos、NjRAT、NanoCore RAT、Pony、Xworm、AsyncRAT、DCrat。”

在一次恶意活动中，Check Point 跟踪了通过Facebook 分发的链接，从而导致了一条长攻击链，其中系统上安装了一个信息窃取木马和两个加密货币挖掘木马。

另一项活动是由黑客组织@silentkillertv 发起的，他们利用了两个链接的PDF 文件，其中一个托管在合法网站trello.com 上。

复杂的攻击链

“Check Point 获得了攻击者拥有的多个构建器，这些构建器利用此漏洞创建恶意PDF 文件。收集的大多数PDF 都在执行PowerShell 命令，这些命令从远程服务器下载有效负载，然后执行它，尽管在某些情况下使用了其他命令， ”报告写道。

PDF命令执行分析

研究人员将此PDF 漏洞归类为针对Foxit PDF Reader 用户的网络钓鱼或社会工程形式，而不是典型的恶意活动。攻击者需要诱骗用户习惯性地单击“确定”，而不了解所涉及的潜在风险。

详细技术报告：

https://blog.checkpoint.com/research/foxit-pdf-reader-flawed-design-hidden-dangers-lurking-in-common-tools/

https://research.checkpoint.com/2024/foxit-pdf-flawed-design-exploitation/

参考链接：https://cybernews.com/news/foxit-pdf-reader-exploit/