Gefahren im Foxit PDF-Reader

Der Exploit zielt hauptsächlich auf Benutzer von Foxit Reader, der neben Adobe Acrobat Reader mit mehr als 700 Millionen Nutzern in mehr als 200 Ländern einer der prominenten PDF-Viewer ist. Der Exploit löst Sicherheitswarnungen aus, die ahnungslose Benutzer verleiten könnten, schädliche Befehle auszuführen. CPR hat beobachtet, dass Varianten dieses Exploits aktiv in Umlauf sind.

Schwachstellen im Design der Warnmeldungen

Die Sicherheitslücke nutzt das fehlerhafte Design der Warnmeldungen in Foxit Reader aus und sorgt dafür, dass dem Nutzer standardmäßig die gefährlichsten Optionen angeboten werden. Sobald ein unvorsichtiger Benutzer zweimal mit der Standardoption fortfährt, wird der Exploit ausgelöst, der eine Nutzlast von einem Remote-Server herunterlädt und ausführt.

Dieser Exploit wurde von mehreren Hackern für kriminelle Aktivitäten und Spionage genutzt. CPR hat drei Fälle isoliert und eingehend untersucht, die von einer Spionage-Kampagne bis hin zu Cyber-Kriminalität mit mehreren Links und Tools reichen und beeindruckende Angriffsketten bilden. Eine der bekanntesten Kampagnen, die diese Schwachstelle ausnutzt, wurde möglicherweise von der als APT-C-35 / DoNot Team bekannten Spionagegruppe durchgeführt. Basierend auf der eingesetzten Malware, den an die Bots gesendeten Befehlen und den erhaltenen Opferdaten sind die Täter in der Lage, hybride Kampagnen durchzuführen, die auf Windows- und Android-Geräte abzielen. Das führte teils zu einer Umgehung der Zwei-Faktor-Authentifizierung (2FA). Dieser Exploit wurde auch von verschiedenen Cyber-Kriminellen genutzt, welche die bekanntesten Malware-Familien verbreiten, wie VenomRAT, Agent-Tesla, Remcos, NjRAT, NanoCore RAT.

PDFs führten PowerShell-Befehle zum Download schädlicher Nutzlasten aus

Bei einer anderen Kampagne identifizierte Check Point Research den Threat Actor als @silentkillertv, welcher eine Kampagne mit zwei verketteten PDF-Dateien durchführte, von denen eine auf einer legitimen Website, trello.com), gehostet wurde. Der Bedrohungsakteur verkauft auch bösartige Tools und warb am 27. April für diesen Exploit. Bei den Recherchen stieß CPR auf mehrere Builds, die der Akteur besitzt, um bösartige PDF-Dateien zu erstellen, die diesen Exploit ausnutzen. Die meisten der gesammelten PDFs führten einen PowerShell-Befehl aus, der eine Nutzlast von einem Server herunterlud und dann ausgeführt wurde, obwohl in einigen Fällen auch andere Befehle verwendet wurden.

Dieser Exploit könnte als eine Form von Phishing oder Manipulation eingestuft werden, die auf Foxit PDF Reader-Benutzer abzielt und sie verleitet, gewohnheitsmäßig auf „OK“ zu klicken, ohne die damit verbundenen Risiken zu verstehen. Die Hacker reichen von rudimentärer Cyber-Kriminalität bis hin zu APT-Gruppen. Das Untergrund-Ökosystem nutzt diesen Exploit bereits seit Jahren aus. Bisher blieb er unentdeckt, da die meisten AV- und Sandboxen den Hauptanbieter von PDF-Readern, Adobe, zugrunde legen. Der Infektionserfolg und die niedrige Entdeckungsrate ermöglichen es, bösartige PDFs über viele unkonventionelle Wege, wie Facebook, zu verbreiten, ohne von Erkennungsregeln aufgehalten zu werden. CPR meldete das Problem an Foxit Reader. Die Entwickler bestätigten die Schwachstelle und teilten mit, dass diese in der Version 2024 3 behoben werden würde

Roger Homrich

Recent Posts

ISG-Studie: Hohe SASE-Nachfrage treibt deutschen SDN-Markt

Werkzeuge und Architekturkonzepte wissen zu überzeugen. Zudem wächst die Zahl der Dienstleister mit ausreichender Umsetzungsexpertise.

8 seconds ago

Studie: Cyberattacken haben auch psychische Auswirkungen auf Opfer

Eine Studie von Akamai deckt Folgen wie emotionaler Stress und Rückgang des Selbstwertgefühls auf. Ein…

2 Stunden ago

Windows 11 24H2: Probleme mit dem System File Checker

Das Tool liefert wiederholt Falschmeldungen. Es erkennt bei einem Scan bereits reparierte Systemdateien weiterhin als…

2 Stunden ago

Nach Cyberangriff: Wayback Machine des Internet Archive wieder online

Ein DDoS-Angriff legt große Teil des Internet Archive lahm. Während die Wayback Machine wieder im…

8 Stunden ago

Lift2Market: Die Agentur für Webdesign, SEO und E-Mail-Marketing speziell für KMUs

In der heutigen digitalen Ära ist eine starke Online-Präsenz für kleine und mittlere Unternehmen (KMU)…

9 Stunden ago

Studie zur Beliebtheit von Adblockern

Werbemüdigkeit ist weit verbreitet. Fast jeder zweite deutsche Internetnutzer setzt Adblocker ein, um Online-Werbung zu…

23 Stunden ago