Файлы PDF (Portable Document Format) являются стандартным форматом для обмена документами в различных компьютерных средах. Они известны своей универсальностью и надежностью, позволяя представлять текст, изображения и мультимедийный контент с единообразным оформлением и форматированием, независимо от программного обеспечения, аппаратного обеспечения или операционной системы. PDF-файлы широко используются в бизнесе, научных кругах, государственном управлении и для личного использования, так как они обеспечивают надежный обмен информацией.
Adobe Acrobat Reader является доминирующей программой для просмотра PDF-файлов, но Foxit PDF Reader является заметной альтернативой, имеющей более 700 миллионов пользователей по всему миру. Однако исследование Check Point Research выявило необычную модель эксплуатации PDF-файлов, прежде всего на пользователей Foxit Reader. Этот эксплойт использует ошибку в дизайне Foxit Reader, которая обманом заставляет пользователя выполнять вредоносные команды. Это повышает эффективность атаки, так как Adobe Reader широко используется в большинстве песочниц и антивирусных решений и не подвержен этому конкретному эксплойту. Кроме того, для развертывания этого эксплойта используются различные сборщики эксплойтов, написанных на .NET и Python.
Этот эксплойт был использован несколькими злоумышленниками, включая киберпреступников и шпионов. Attackers использовали низкое обнаружение и отсутствие защиты от этого эксплойта, заражая пользователей вредоносными PDF-файлами, даже через нетрадиционные каналы, такие как Facebook. Check Point Research выделила три детальных случая, от шпионской кампании до киберпреступности с использованием различных связей и инструментов для проведения впечатляющих цепочек атак.
Дизайн Foxit Reader оказался недостаточно безопасным, так как по умолчанию он отображает «ОК», и пользователи могут легко пропустить предупреждения безопасности и выполнить вредоносный код. Эксплуатация жертв происходит путем дважды «соглашения» с опциями по умолчанию. Это связано с несовершенной логикой и обычным поведением пользователей, которые выбирают наиболее "вредный" вариант из предложенных.
Indicators of Compromise
Domains
- account.gommask.online
SHA256
- 0ade87ba165a269fd4c03177226a148904e14bd328bdbb31799d2ead59d7c2fa
- 19a8201c6a3063b897d696330c1b60bd97914514d2ae6a6c3c1796bec236724a
- 1cbf897cccc22a1e6d6a12766adf0dcee4c103539add2c10c7906042e19519f4
- 20549f237f3552570692e6e2bb31c4d2ddf8133c5f59f5914522e88239370514
- 2aa9459160149ecefd1c9b63420eedc7fe3a21ae0ca3e080c93fd39fef32e9c0
- 2d40e892e059850ba708f8092523efeede759ecd6e52d8cb7752462fcdb6f715
- 3e9a60d5f6174bb1f1c973e9466f3e70c74c771043ee00688e50cac5e8efe185
- 3f291d07a7b0596dcdf6f419e6b38645b77b551a2716649c12b8706d31228d79
- 4a7aeb6f510cf5d038e566a3ccd45e98a46463bb67eb34012c8e64444464b081
- 4ef3a6703abc6b2b8e2cac3031c1e5b86fe8b377fde92737349ee52bd2604379
- 4ef9133773d596d1c888b0ffe36287a810042172b0af0dfad8c2b0c9875d1c65
- 5c42a4b474d7433bd9f1665dc914de7b3cc7fbdb9618b0322324b534440737d7
- 79e1cb66cb52852ca3f46a2089115e11fff760227ae0ac13f128dda067675fbc
- 7f5f1586b243f477c484c34fa6243c20b3ecf29700c6c17e23a4daf9360e2d2f
- 8155a6423d64f30d2994163425d3fbe14a52927d3616ffacea36ddc71a6af4b0
- 87effdf835590f85db589768b14adae2f76b59b2f33fae0300aef50575e6340d
- 9a7f4ff5fd0a972eeda9293727f0eecdd7ce2cfe0a072cdf9d3402ee9c46a48e
- 9c5883cf118f1d22795f7b5661573f8099554c5a3f78d592e8917917baa6d20f
- a334a9c1a658f4ebef7ba336f9a27693030dc444509bd9fa8fdefe8aaae3a133
- a4a8486c26c050ed3b3eb02c826b1b67e505ada0bf864a223287d5b3f7a0cde0
- a5c9a3518f072982404e68dc6a3dc90edebbf292fc1aca6962b6ccf64f4fe28c
- ac7598e2b4dd12ac584a288f528a94c484570582c9877c821c47789447b780ec
- b3ad75eef9208d58a904030d44da22c59ce7bd47ed798b0a14b58330a1390fe8
- b59ab9147214bc1682006918692febed4ad37e1d305c5c80dc1ee461914eacd2
- c1436f65acbf7123d1a45b0898be69ba964f0c6d569aa350c9d8a5f187b3c0e7
- c943fe1b8e1b17ec379d33a6e5819a5736cb5de13564f86f1d3fba320ccebaa0
- d2bd6a05d1e30586216e73602a05367380ae66654cd0bccabb0414ef6810ab18
- d44f161b75cba92d61759ef535596912e1ea8b6a5a2067a2832f953808ca8609
- d5483049dc32d1a57e759839930fe17fe31a5f513d24074710f98ec186f06777
- d761fe4d58fe68fc95d72871429f0fce6055389a58f81cf0a19eb905a96e1c38
- de8ecd738f1f24a94aba06f19d426399bc250cc5e7b848b2cbd92fc1d6906403
- e32d2966a22243f346e06d4da5164abab63c2700c905f22c09a18125ee4de559
- e9bf261a779c1b3a023189bef509579bad8b496dcfe5e96c19cf8cc8bea48a08
- eb87ec49879dc44b6794bb70bd6c706e74694e4c2bbc1926dd4cff42e5b63cc6
- ecb4f5f0ee0cda289056f2f994c061d53cfbc8ac413f2ca4da8864c68f0a23f6
- ee42cf45fff12bcc9e9262955470bfed810f3530e651fddb054456264635d9d2
- f002712b557a93da23bbf4207e5bc57cc5e4e6e841653ffab59deb97b19f214e
- fc330bb132a345af05feb0d275eeef29c7a439a04223757f33360393cf975ca9
