Araştırmacılar, Foxit Reader kullanıcılarını hedef alan ve varsayılan “Tamam” seçeneğiyle güvenlik uyarıları sunan bir tasarım hatası kullanan ve potansiyel olarak kullanıcıları kötü amaçlı kod çalıştırmaya yönlendiren bir PDF istismarı tespit etti.
Bu istismar aktif olarak kullanılıyor ve endüstri standardı Adobe Acrobat Reader ile karşılaştırıldığında daha az bilinen bir PDF görüntüleyici olan Foxit Reader’a odaklandığı için tipik tespit yöntemlerini atlıyor.
Uyarı mesajlarındaki bir tasarım hatası nedeniyle Foxit Reader, kullanıcıları dikkatli bir şekilde düşünmeden iki kez tıklarlarsa bilmeden güvenliklerini tehlikeye atacak şekilde kandırabilecek ciddi bir güvenlik açığına sahiptir.
Bu açıktan yararlanma, saldırganlara uzak bir sunucudan kötü amaçlı kod indirme ve yürütme yeteneği vererek potansiyel olarak kullanıcının sistemine ve verilerine yetkisiz erişim sağlama olanağı verir.
Ücretsiz Web Semineri Canlı API Saldırı Simülasyonu: Yerinizi Ayırın | API’lerinizi bilgisayar korsanlarından korumaya başlayın
Bu güvenlik açığından, casusluk ve e-suç da dahil olmak üzere çeşitli kötü amaçlı amaçlarla gerçek dünya saldırılarında aktif olarak yararlanılıyor.
APT-C-35 (DoNot Team) muhtemelen hem Windows’u hem de Android’i hedef alan büyük bir istismar kampanyasının arkasındadır.
Saldırganlar, bu açıktan yararlanarak VenomRAT, Agent-Tesla, Remcos, NjRAT, NanoCore RAT, Pony, Xworm, AsyncRAT ve DCRat gibi çeşitli kötü amaçlı yazılım ailelerini dağıtmak için kullanıyor; bu da onların güvenliği ihlal edilmiş cihazları kontrol etmelerine ve potansiyel olarak iki faktörlü kimlik doğrulamayı (2FA) atlamalarına olanak tanıyor ).
.webp)
Check Point Research, muhtemelen Facebook aracılığıyla dağıtılan, çok aşamalı bir saldırı zinciri kullanan ve muhtemelen bir bilgi hırsızının ve iki kripto para madencisinin kurbanın makinesine düşmesine yol açan kötü amaçlı bir bağlantıya tıklamayı içeren bir saldırı kampanyası keşfetti.
Ayrı bir olayda, kötü amaçlı yazılım dağıtmak için biri meşru web sitesi Trello’da barındırılan iki bağlantılı PDF dosyasını kullanan ve aynı zamanda 27 Nisan’da bu istismarın reklamını yaparak kötü amaçlı araçlar sattığı bilinen bir tehdit aktörü @silentkillertv’yi tespit ettiler.
.webp)
Saldırganların, belirli bir güvenlik açığından yararlanarak kötü amaçlı PDF’ler oluşturmak için kullandıkları oluşturma araçlarını ortaya çıkardılar; bu araçlar öncelikle PowerShell yüklerini uzak bir sunucudan indirip ardından hedef makinede çalıştırarak sağlıyordu.
Bazı durumlarda inşaatçılar farklı komutlar için yapılandırılmıştı, bu da saldırganın cephaneliğinde esneklik olduğunu gösteriyordu.
.webp)
Foxit PDF Reader’da yakın zamanda tanımlanan bir güvenlik açığı, saldırganların kullanıcı güvenini kullanarak geleneksel güvenlik önlemlerini atlamasına olanak tanıyor.
Klasik istismarlardan farklı olarak bu, sosyal mühendisliğe dayanıyor ve kullanıcıları, riskleri anlamadan izin açılır pencerelerinde “Tamam”ı tıklatmaya yönlendiriyor.
Bu teknik yıllardır gözden kaçıyor çünkü güvenlik çözümleri genellikle daha popüler olan Adobe Reader’a odaklanıyor; algılama eksikliği kötü amaçlı PDF’lerin kolayca dağıtılmasına ve geleneksel güvenlik önlemlerinin atlanmasına olanak tanıyor; Foxit ise sorunu kabul ediyor ve bu sorunu çözmeyi planlıyor. gelecekteki bir güncellemede.
On-Demand Webinar to Secure the Top 3 SME Attack Vectors: Watch for Free