Difetto di Foxit PDF Reader: Una porta aperta ai malware

Recentemente, è stato scoperto dai ricercatori di Check Point Research un difetto nel popolare software Foxit PDF Reader, che è stato sfruttato per diffondere una vasta gamma di malware. Foxit PDF Reader, un’alternativa di spicco ad Adobe Acrobat Reader, utilizzato da oltre 700 milioni di utenti in tutto il mondo, presenta una falla nel design delle sue notifiche di sicurezza. Gli attaccanti hanno approfittato di questa vulnerabilità per distribuire documenti PDF artefatti che, una volta aperti, eseguono comandi o script dannosi. Questi script sono in grado di scaricare ed eseguire vari tipi di malware, tra cui AgentTesla, Remcon RAT, Xworm, NanoCore RAT.

Come funziona l’attacco

Gli aggressori utilizzano costruttori di exploit in .NET e Python per creare documenti PDF con macro che eseguono comandi. Il design fuorviante delle notifiche di Foxit PDF Reader rende l’opzione dannosa quella predefinita che mostra come opzione il tasto “OK”, inducendo gli utenti a sceglierla senza leggere attentamente il testo dell’avviso e ad avviare tramite un secondo pop-up con tasto predefinito “Open” comandi CMD arbitrari.

Fonte Check Point Research
Fonte Check Point Research

Ad esempio la catena di attacco di una campagna rilevata, sfruttando questo possibile abbaglio, prevedeva il download del PDF con l’esecuzione tramite un downloader di due eseguibili, che successivamente raccoglievano e caricavano vari file come documenti, immagini, archivi e database.

Conclusioni

È fondamentale aggiornare regolarmente i software e prestare attenzione alle notifiche di sicurezza, soprattutto quando si tratta di documenti provenienti da fonti non verificate.

Sebbene questo “exploit” non corrisponda alla definizione classica di attivazione di attività dannose, potrebbe essere classificato più accuratamente come una forma di “phishing” o manipolazione mirata agli utenti di Foxit PDF Reader, inducendoli a fare clic abitualmente su “OK” senza comprendere il significato dei potenziali rischi connessi“, conclude il rapporto.

Foxit ha promesso di risolvere il problema nella versione 2024 3 del software.

Su Salvatore Lombardo 241 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.