Check Point araştırmacıları, tehdit aktörlerinin Foxit PDF Reader’ın uyarılarının kusurlu tasarımından faydalanarak bubi tuzaklı PDF belgeleri aracılığıyla kötü amaçlı yazılım dağıttığı konusunda uyardı.
Sorunu istismar etmek
Araştırmacılar, Foxit Reader kullanıcılarını hedef alan kötü amaçlı PDF dosyalarını kullanan çeşitli kampanyaları analiz etti.
Saldırganlar, kötü amaçlı yazılımları indiren ve çalıştıran komutları/komutları çalıştıran makrolara sahip PDF belgeleri oluşturmak için en popüler olanı “PDF Exploit Builder” olan çeşitli .NET ve Python istismar oluşturucularından yararlanıyor (Ajan Tesla, Remcon RAT, Xworm, NanoCore RAT ve diğerleri).
“Programlama dili ne olursa olsun, tüm geliştiriciler tutarlı bir yapı sergiliyor. Açıklardan yararlanma için kullanılan PDF şablonu, kullanıcı kötü amaçlı dosyanın indirileceği URL’yi girdiğinde değiştirilmesi amaçlanan yer tutucu metni içeriyor” diye açıkladılar.
Tehdit aktörleri, Foxit Reader’ın bubi tuzaklı dosyaları açarken gösterdiği bazı açılır uyarıların, zararlı seçeneği varsayılan seçenek haline getirmesinden de yararlanıyor.
Potansiyel güvenlik risklerini önlemek için özelliklerin devre dışı bırakıldığı konusunda uyarı veren ilk açılır pencere, kullanıcıdan bu belgeye yalnızca bir kez veya her zaman güvenmesini ister (önceki seçenek, hem varsayılan hem de daha güvenli olanıdır).
Kullanıcı Tamam düğmesini tıkladığında başka bir uyarı açılır:
İkinci uyarı (Kaynak: Check Point Research)
Saldırganlar, kullanıcıların uyarı metnini göz ardı etmelerini ve varsayılan seçenekleri hızlı bir şekilde kabul ederek bunların üzerinden geçmelerini ve böylece Foxit’in kötü amaçlı komutu yürütmesine izin vermelerini bekliyor.
Foxit sorunu çözeceğinin sözünü verdi
Foxit PDF Reader dünya çapında 700 milyondan fazla kullanıcı tarafından kullanılıyor ve kamu ve teknoloji sektörlerinden müşterileri var.
“Tehdit aktörleri e-suçtan APT gruplarına kadar çeşitlilik gösteriyor; yeraltı ekosistemi yıllardır bu ‘istismardan’ yararlanıyor, çünkü çoğu AV ve sanal alan PDF Okuyucuları’ndaki ana oynatıcı olan Adobe’yi kullandığından ‘tespit edilmeden ilerliyordu’.” araştırmacılar ekledi.
“Bulaşma başarısı ve düşük tespit oranı, PDF’lerin herhangi bir tespit kuralı tarafından durdurulmadan Facebook gibi birçok geleneksel olmayan yolla dağıtılmasına olanak tanıyor.”
Check Point, kötüye kullanılan “sorunu” Foxit’e işaretledi ve şirket, sorunu 2024 3 sürümünde çözeceğini belirtti.
“Doğru yol, bu tür CMD yürütmelerini tespit etmek ve devre dışı bırakmak olacaktır. Check Point Research’te tersine mühendis olan Antonis Terefos, Help Net Security’ye verdiği demeçte, Foxit’ten aldığımız mesaja göre, varsayılan seçenekleri ‘Açma’ olarak ‘değiştirmelerinin’ mümkün olduğunu söyledi.
Yorum yapmak için Foxit’e ulaştık ancak henüz onlardan haber alamadık.