.png)
Vulnerabilidad encontrada
Los investigadores de seguridad han identificado una nueva campaña de ataques dirigida a los usuarios de la aplicación Foxit Reader, un visor de PDF. Echemos un vistazo a esta amenaza.
Aunque Foxit Reader es menos popular que el lector de PDF de Adobe, sigue siendo una aplicación ampliamente utilizada en todo el mundo. Es utilizado tanto por individuos como por algunas organizaciones. El problema es que contiene lo que podría llamarse una "vulnerabilidad por diseño" dentro de su función de visualización de alertas de seguridad.
​
De hecho, cuando Foxit Reader detecta una amenaza potencial en un PDF, muestra un mensaje de advertencia en la pantalla. El problema es que este mensaje puede ser engañoso para el usuario: si se valida dos veces usando la opción predeterminada, entonces se activa el exploit y se puede ejecutar el código malicioso. Esto debe revisarse para que la acción predeterminada permita la denegación de la ejecución.
​
Al aprovechar este exploit, un atacante puede descargar y ejecutar código malicioso desde un servidor remoto en la máquina del usuario, lo que representa un riesgo significativo. Dado que este ataque se aprovecha de un exploit nativo de la aplicación, esto hace que sea más fácil permanecer indetectable para los sistemas de seguridad.
Foxit Reader: los ciberataques están en marcha
Según El informe Según un artículo publicado por los investigadores de Check Point, un grupo de ciberdelincuentes rastreados bajo el nombre de APT-C-35 (DoNot Team) está explotando activamente esta vulnerabilidad en ciberataques. "Este exploit ha sido utilizado por muchos actores maliciosos, en el contexto de la ciberdelincuencia y el espionaje", se lee.
​
Se utiliza para implementar una variedad de malware, incluidos VenomRAT, Agent-Tesla, Remcos, NjRAT, NanoCore RAT, Pony, Xworm, AsyncRAT y DCRat.
​
La mayoría de los archivos PDF recopilados ejecutaron un comando PowerShell que descargaba una carga útil de un servidor remoto y luego la ejecutaba, aunque en algunas ocasiones se usaban otros comandos.", señala el informe.