Exploit de PDF en Foxit Reader: Un Peligro Oculto para los Usuarios

Recientemente, los investigadores han identificado un exploit dirigido a los usuarios de Foxit Reader, una aplicación menos conocida en comparación con Adobe Acrobat Reader. Esta vulnerabilidad, basada en una falla de diseño en las advertencias de seguridad de Foxit Reader, presenta a los usuarios una opción predeterminada de “OK”, que potencialmente los engaña para que ejecuten código malicioso. Este exploit, que se encuentra actualmente en uso activo, ha demostrado ser eficaz al evitar los métodos de detección tradicionales debido a la menor notoriedad de Foxit Reader.

La Vulnerabilidad en Foxit Reader

Foxit Reader presenta un diseño problemático en sus mensajes de advertencia de seguridad. Normalmente, estas advertencias son esenciales para prevenir la ejecución de acciones potencialmente dañinas. Sin embargo, en Foxit Reader, la opción predeterminada de “OK” en estas advertencias puede llevar a los usuarios a autorizar sin querer la ejecución de código malicioso. Si un usuario hace clic en “OK” dos veces rápidamente sin prestar atención, puede comprometer la seguridad de su sistema.

Esta vulnerabilidad permite a los atacantes descargar y ejecutar código malicioso desde un servidor remoto, otorgándoles acceso no autorizado al sistema y a los datos del usuario. Los ataques pueden tener diversas motivaciones, desde el espionaje hasta el delito cibernético, haciendo de esta falla un riesgo significativo para los usuarios.

Ataques en el Mundo Real

Investigaciones han revelado que esta vulnerabilidad se ha explotado activamente en campañas del mundo real. Uno de los grupos sospechosos de estar detrás de estas campañas es APT-C-35, también conocido como DoNot Team. Este grupo ha dirigido ataques tanto a usuarios de Windows como de Android, utilizando el exploit para desplegar múltiples familias de malware, incluyendo VenomRAT, Agent-Tesla, Remcos, NjRAT, NanoCore RAT, Pony, Xworm, AsyncRAT y DCRat. Estos tipos de malware permiten a los atacantes controlar los dispositivos comprometidos y, en algunos casos, incluso evadir la autenticación de dos factores (2FA).

Cadena de Ataque

Check Point Research descubrió una campaña de ataque que probablemente se distribuía a través de Facebook. Esta campaña utilizaba una cadena de ataque en varias etapas, comenzando con un enlace malicioso. Al hacer clic en este enlace, la víctima descargaba un ladrón de información y dos mineros de criptomonedas en su máquina.

En otro incidente, se identificó a un actor de amenazas conocido como @silentkillertv, quien utilizaba dos archivos PDF vinculados, uno de ellos alojado en el sitio legítimo Trello, para distribuir malware. Este actor también es conocido por vender herramientas maliciosas, y el exploit fue anunciado en su canal de Telegram el 27 de abril.

Herramientas de Creación y Flexibilidad del Arsenal del Atacante

Las herramientas de creación utilizadas por los atacantes permiten generar archivos PDF maliciosos que explotan la vulnerabilidad específica en Foxit Reader. Principalmente, estas herramientas se utilizan para entregar cargas útiles de PowerShell, que se descargan desde un servidor remoto y se ejecutan en la máquina objetivo. La flexibilidad de estas herramientas sugiere que los atacantes pueden ajustar sus comandos según sus necesidades específicas, aumentando la versatilidad y efectividad de sus ataques.

Análisis de Comandos Ejecutados en PDF

La vulnerabilidad en Foxit Reader permite a los atacantes eludir las medidas de seguridad tradicionales al explotar la confianza del usuario. A diferencia de los exploits clásicos que se basan en vulnerabilidades técnicas, este exploit se apoya en la ingeniería social. Manipula a los usuarios para que hagan clic en “Aceptar” en las ventanas emergentes de permiso sin entender los riesgos, aprovechando la tendencia de los usuarios a aceptar rápidamente las advertencias de seguridad sin examinarlas detenidamente.

Este método ha pasado desapercibido durante años porque las soluciones de seguridad tienden a enfocarse más en Adobe Reader, dejando a Foxit Reader como un objetivo menos vigilado. La falta de detección permite que los archivos PDF maliciosos se distribuyan fácilmente y eludan las medidas de seguridad tradicionales.

Respuesta de Foxit Software

Foxit Software ha reconocido el problema y planea abordarlo en una futura actualización. Mientras tanto, es crucial que los usuarios de Foxit Reader sean conscientes de esta vulnerabilidad y tomen medidas para protegerse. Entre las recomendaciones se incluyen:

1. Actualización de Software: Mantener Foxit Reader y todos los software de seguridad actualizados para asegurarse de contar con las últimas protecciones.
2. Precaución en los Clics: Ser especialmente cuidadoso al hacer clic en advertencias de seguridad y leerlas detenidamente antes de aceptar cualquier acción.
3. Soluciones de Seguridad: Utilizar soluciones de seguridad adicionales que puedan detectar comportamientos sospechosos y no solo basarse en la popularidad del software.
4. Educación y Conciencia: Aumentar la educación y conciencia sobre la ingeniería social y cómo los atacantes la utilizan para engañar a los usuarios.

En resumen, la vulnerabilidad en Foxit Reader representa un riesgo significativo para los usuarios. La capacidad de los atacantes para engañar a los usuarios y ejecutar código malicioso mediante una simple falla de diseño subraya la importancia de un enfoque constante y vigilante en la seguridad de la información. Los usuarios deben estar atentos y tomar medidas preventivas para protegerse contra este tipo de amenazas, mientras que los desarrolladores de software deben priorizar la seguridad en el diseño de sus productos.