Schwachstelle im Foxit PDF-Reader wird für Phishing ausgenutzt
Forscher haben ein ungewöhnliches Verhaltensmuster bei der Ausnutzung von PDF-Dateien entdeckt. Der Exploit zielt hauptsächlich auf Benutzer von Foxit Reader, der neben Adobe Acrobat Reader mit mehr als 700 Millionen Nutzern in mehr als 200 Ländern einer der prominenten PDF-Viewer ist. Über die Ausnutzung der Schwachstelle lassen sich Sicherheitswarnungen auslösen, die ahnungslose Benutzer verleiten könnten, schädliche Befehle auszuführen.
Laut den Sicherheitsforschern von Check Point Research hat das fehlerhafte Design der Warnmeldungen in Foxit Reader zu einer Sicherheitslücke geführt, die jetzt ausgenutzt wird. Dem Nutzer werden standardmäßig die gefährlichsten Optionen angeboten. Sobald ein unvorsichtiger Benutzer zweimal mit der Standardoption fortfährt, wird der Exploit ausgelöst, der eine Nutzlast von einem Remote-Server herunterlädt und ausführt.
Mehrere Hacker nutzten diesen Exploit für kriminelle Aktivitäten und Spionage. Check Point Research (CPR) untersuchte drei Fälle, die von Spionage-Kampagnen bis zu Cyber-Kriminalität mit komplexen Angriffsketten reichten. Eine bekannte Kampagne wurde möglicherweise von der Spionagegruppe APT-C-35 / DoNot Team durchgeführt, die hybride Angriffe auf Windows- und Android-Geräte ermöglichte und teils die Zwei-Faktor-Authentifizierung (2FA) umging.
Cyber-Kriminelle verbreiteten bekannte Malware wie VenomRAT, Agent-Tesla, Remcos, NjRAT und NanoCore RAT. CPR verfolgte eine Facebook-Kampagne, die einen Infostealer und zwei Krypto-Miner verbreitete. In einer anderen Kampagne identifizierte CPR den Bedrohungsakteur @silentkillertv, der bösartige PDF-Dateien über eine legitime Website verbreitete und diese zum Verkauf anbot.
Der Exploit zielte auf Foxit PDF Reader-Benutzer, die oft unbewusst auf „OK“ klickten. Er blieb unentdeckt, da viele Antivirenprogramme und Sandboxes Adobe als Hauptanbieter von PDF-Readern zugrunde legten. CPR meldete das Problem an Foxit Reader, die bestätigten, dass die Schwachstelle in Version 2024 3 behoben wird.
Angesichts der raffinierten Social-Engineering-Taktiken sollten Nutzer wachsam sein, sich informieren und Sicherheitsmaßnahmen wie Multi-Faktor-Authentifizierung und Schulungen zum Sicherheitsbewusstsein implementieren, um das Risiko zu mindern.
Weitere Informationen dazu gibt es hier.