前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >正在被黑客利用,Foxit PDF 阅读器存在设计「缺陷」

正在被黑客利用,Foxit PDF 阅读器存在设计「缺陷」

作者头像
FB客服
发布2024-05-17 17:07:15
1500
发布2024-05-17 17:07:15
举报
文章被收录于专栏:FreeBufFreeBuf
目前,PDF 已然成为了数字通信中不可或缺的一部分,在 PDF 阅读器领域,Adobe Acrobat Reader 占据了最大的市场份额,但近些年后起之秀 Foxit PDF Reader 的市场占有率开始突飞猛进,在 200 多个国家拥有超过 7 亿用户。

然而,Check Point Research 近日发现了一种针对 Foxit Reader 用户的 PDF 安全漏洞利用的异常操作模式,该安全漏洞会触发安全警告,诱使毫无戒心的用户执行「有害」命令。目前,该安全漏洞的变体在野外正被积极利用。

Foxit PDF Reader 设计中存在安全缺陷

研究人员表示,安全漏洞是由 Foxit Reader 中警告消息中某个设计缺陷引发。据悉,警告消息中提供了一个「有害」的默认选项,一旦有粗心的用户使用默认选项,安全漏洞就会自动触发,从远程服务器下载并执行恶意有效负载。

触发恶意命令的默认选项

安全研究人员已经证实安全漏洞已经被多个威胁攻击者用于电子犯罪和间谍活动。其中,名为 APT-C-35 / DoNot Team 威胁组织发起的某一间谍组织最为「著名」。威胁攻击者通过部署特定恶意软件、获得受害者的数据信息。此外,威胁攻击者能够开展针对 Windows 和 Android 设备的混合攻击活动,从而绕过双因素身份验证 (2FA) 。

VenomRAT、Agent-Tesla、Remcos、NjRAT、NanoCore RAT、Pony、Xworm、AsyncRAT、DCRat 等在内的各种网络犯罪攻击者都在利用该安全漏洞,以分发、部署恶意软件。Check Point Research 跟踪了一起可能是通过 Facebook 分发恶意软件的活动,发现了一条攻击链。

攻击链

在另一场攻击活动中,Check Point Research 确认了威胁攻击者为@silentkillertv,主要利用两个链接的PDF 文件执行活动,其中一个文件托管在合法网站 trello.com 上。威胁攻击者还销售恶意工具,并于 4 月 27 日宣传了这一漏洞。

研究过程中,Check Point 获得了多个攻击者拥有的构建器,这些构建器利用此漏洞创建恶意 PDF 文件,大多数收集的 PDF 正在执行 PowerShell 命令,该命令从远程服务器下载有效负载,然后立刻执行。

PDF 命令执行分析

最后,安全人员指出,随着社会工程策略的日益复杂,用户必须时刻保持警惕,随时了解自身网络安全状况,谨慎行事,并实施包括多因素身份验证和安全意识培训等在内的安全措施,以最大程度上降低成为此类攻击受害者的风险。

https://blog.checkpoint.com/research/foxit-pdf-reader-flawed-design-hidden-dangers-lurking-in-common-tools/

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2024-05-16,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
多因子身份认证
多因子身份认证(Multi-factor Authentication Service,MFAS)的目的是建立一个多层次的防御体系,通过结合两种或三种认证因子(基于记忆的/基于持有物的/基于生物特征的认证因子)验证访问者的身份,使系统或资源更加安全。攻击者即使破解单一因子(如口令、人脸),应用的安全依然可以得到保障。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档