2024-05-17 22:29:02
Check Point met en garde contre une vulnérabilité ouverte actuellement exploitée par des pirates informatiques à des fins de phishing.
L’exploit cible principalement les utilisateurs de Foxit Reader, qui est l’un des principaux lecteurs de PDF aux côtés d’Adobe Acrobat Reader, avec plus de 700 millions d’utilisateurs dans plus de 200 pays. L’exploit déclenche des alertes de sécurité qui pourraient inciter des utilisateurs sans méfiance à exécuter des commandes malveillantes. Le CPR a observé que des variantes de cet exploit circulent activement.
Faiblesses dans la conception des alertes
La vulnérabilité exploite la conception défectueuse des alertes dans Foxit Reader et entraîne la présentation par défaut des options les plus dangereuses à l’utilisateur. Une fois qu’un utilisateur imprudent utilise deux fois l’option par défaut, l’exploit est déclenché, qui télécharge et exécute une charge utile à partir d’un serveur distant.
Cet exploit a été utilisé par plusieurs pirates informatiques à des fins criminelles et d’espionnage. CPR a isolé et étudié de manière approfondie trois cas allant d’une campagne d’espionnage à la cybercriminalité avec de multiples liens et outils, formant des chaînes d’attaque impressionnantes. L’une des campagnes les plus connues exploitant cette vulnérabilité a peut-être été menée par le groupe d’espionnage connu sous le nom d’APT-C-35 / DoNot Team. Sur la base des logiciels malveillants déployés, des commandes envoyées aux robots et des données des victimes obtenues, les auteurs sont en mesure de lancer des campagnes hybrides ciblant les appareils Windows et Android. Cela conduisait parfois à contourner l’authentification à deux facteurs (2FA). Cet exploit a également été utilisé par divers cybercriminels qui distribuent les familles de malwares les plus connues, telles que VeninRAT, Agent-Tesla, Remcos,NjRAT, NanoCore RAT.
Les fichiers PDF exécutent des commandes PowerShell pour télécharger des charges utiles malveillantes
Dans une autre campagne, Check Point Research a identifié l’acteur malveillant comme étant @silentkillertv, qui a mené une campagne en utilisant deux fichiers PDF concaténés, dont l’un était hébergé sur un site Web légitime, trello.com. L’acteur malveillant vend également des outils malveillants et a fait la promotion de cet exploit le 27 avril. Au cours de ses recherches, CPR a découvert plusieurs builds que possède l’acteur pour créer des fichiers PDF malveillants exploitant cet exploit. La plupart des fichiers PDF collectés exécutaient une commande PowerShell qui téléchargeait une charge utile à partir d’un serveur puis s’exécutait, bien que dans certains cas, d’autres commandes aient également été utilisées.
Cet exploit pourrait être classé comme une forme de phishing ou de manipulation ciblant les utilisateurs de Foxit PDF Reader et les incitant à cliquer habituellement sur « OK » sans comprendre les risques encourus. Les pirates informatiques vont de la cybercriminalité rudimentaire aux groupes APT. L’écosystème souterrain exploite cet exploit depuis des années. Jusqu’à présent, il n’a pas été détecté car la plupart des antivirus et des sandbox s’appuient sur le principal fournisseur de lecteurs PDF, Adobe. Le succès de l’infection et le faible taux de détection permettent de diffuser des PDF malveillants via de nombreux canaux non conventionnels, tels que Facebook, sans être arrêtés par les règles de détection. CPR a signalé le problème à Foxit Reader. Les développeurs ont confirmé la vulnérabilité et annoncé qu’elle serait corrigée dans la version 2024 3
#Dangers #dans #Foxit #PDF #Reader #ZDNet.de
1715977880
