Die Sicherheitslücke nutzt laut Check Point Research das fehlerhafte Design der Warnmeldungen in Foxit Reader aus und sorgt dafür, dass dem Nutzer standardmäßig die gefährlichsten Optionen angeboten werden. Sobald ein unvorsichtiger Benutzer zweimal mit der Standardoption fortfährt, wird der Exploit ausgelöst, der eine Nutzlast von einem Remote-Server herunterlädt und ausführt.

Dieser Exploit wurde von mehreren Hackern für kriminelle Aktivitäten und Spionage genutzt. CPR hat drei Fälle isoliert und eingehend untersucht, die von einer Spionage-Kampagne bis hin zu Cyber-Kriminalität mit mehreren Links und Tools reichen und beeindruckende Angriffsketten bilden. Eine der bekanntesten Kampagnen, die diese Schwachstelle ausnutzt, wurde möglicherweise von der als APT-C-35 / DoNot Team bekannten Spionagegruppe durchgeführt.

Basierend auf der eingesetzten Malware, den an die Bots gesendeten Befehlen und den erhaltenen Opferdaten sind die Täter in der Lage, hybride Kampagnen durchzuführen, die auf Windows- und Android-Geräte abzielen. Das führte teils zu einer Umgehung der Zwei-Faktor-Authentifizierung (2FA). Dieser Exploit wurde auch von verschiedenen Cyber-Kriminellen genutzt, welche die bekanntesten Malware-Familien verbreiten, wie VenomRAT, Agent-Tesla, Remcos, NjRAT, NanoCore RAT.

Check Point Research verfolgte die Links einer möglicherweise über Facebook verbreiteten Kampagne, die zu einer beeindruckenden Angriffskette führte, um einen Infostealer und zwei Krypto-Miner abzusetzen.

Download schädlicher Nutzlasten per PowerShell

Bei einer anderen Kampagne identifizierte Check Point Research den Threat Actor als @silentkillertv, welcher eine Kampagne mit zwei verketteten PDF-Dateien durchführte, von denen eine auf einer legitimen Website, trello.com), gehostet wurde. Der Bedrohungsakteur verkauft auch bösartige Tools und warb am 27. April für diesen Exploit.

Bei den Recherchen stieß CPR auf mehrere Builds, die der Akteur besitzt, um bösartige PDF-Dateien zu erstellen, die diesen Exploit ausnutzen. Die meisten der gesammelten PDFs führten einen PowerShell-Befehl aus, der eine Nutzlast von einem Server herunterlud und dann ausgeführt wurde, obwohl in einigen Fällen auch andere Befehle verwendet wurden.

Nutzer ausgetrickst

Dieser Exploit könnte als eine Form von Phishing oder Manipulation eingestuft werden, die auf Foxit PDF Reader-Benutzer abzielt und sie verleitet, gewohnheitsmäßig auf "OK" zu klicken, ohne die damit verbundenen Risiken zu verstehen. Die Hacker reichen von rudimentärer Cyber-Kriminalität bis hin zu APT-Gruppen. Das Untergrund-Ökosystem nutzt diesen Exploit bereits seit Jahren aus.

Bisher blieb er unentdeckt, da die meisten AV- und Sandboxen den Hauptanbieter von PDF-Readern, Adobe, zugrunde legen. Der Infektionserfolg und die niedrige Entdeckungsrate ermöglichen es, bösartige PDFs über viele unkonventionelle Wege, wie Facebook, zu verbreiten, ohne von Erkennungsregeln aufgehalten zu werden. CPR meldete das Problem an Foxit Reader. Die Entwickler bestätigten die Schwachstelle und teilten mit, dass diese in der Version 2024 3 behoben werden würde.

Zwei-Faktor-Authentifzierung und Wachsamkeit

Angesichts der raffinierten Social-Engineering-Taktiken ist es für die Nutzer unerlässlich, aufmerksam und wachsam zu sein, sich zu informieren, Vorsicht walten zu lassen und robuste Sicherheitsmaßnahmen wie Multifaktor-Authentifizierung und Schulungen zum Sicherheitsbewusstsein zu implementieren, um das Risiko, Opfer solcher Angriffe zu werden, zu mindern.