Ερευνητές ασφαλείας αποκάλυψαν νέες καμπάνιες εκμετάλλευσης των PDF, που στοχεύουν ιδιαίτερα τους χρήστες του Foxit Reader.
Παρά την κυριαρχία του Adobe Acrobat Reader στην αγορά, το Foxit Reader είναι, επίσης, αρκετά δημοφιλές με περισσότερους από 700 εκατομμύρια χρήστες παγκοσμίως. Η υπηρεσία χρησιμοποιείται τόσο στον κυβερνητικό όσο και στον τεχνολογικό τομέα.
Σύμφωνα με τους ερευνητές της Check Point Research (CPR), παρατηρείται τώρα ένα ξεχωριστό μοτίβο εκμετάλλευσης αρχείων PDF, που απευθύνεται σε χρήστες του Foxit Reader. Το χαμηλό ποσοστό ανίχνευσης του συγκεκριμένου exploit αποδίδεται στην ευρεία χρήση του Adobe Reader στις περισσότερες λύσεις ασφαλείας, αφήνοντας το Foxit ευάλωτο. Οι ερευνητές παρατήρησαν ότι exploit builders σε .NET και Python έχουν χρησιμοποιηθεί για την ανάπτυξη malware.
Δείτε επίσης: Οι Kimsuky hackers στοχεύουν crypto εταιρείες με το Durian malware
Συγκεκριμένα, έχουν παρατηρηθεί καμπάνιες που χρησιμοποιούν αυτό το exploit και μοιράζονται κακόβουλα αρχεία PDF μέσω Facebook.
Η έρευνα αποκάλυψε μια ευπάθεια στον σχεδιασμό του Foxit Reader, που θα μπορούσε να επιτρέψει εκτέλεση κακόβουλων εντολών. Στην πραγματικότητα, υπάρχουν κάποιες προεπιλεγμένες επιλογές και η εκμετάλλευση συμβαίνει όταν οι χρήστες συμφωνούν με αυτές τις προεπιλεγμένες επιλογές χωρίς να κατανοούν πλήρως τους σχετικούς κινδύνους. Αυτή η κατάσταση τονίζει τον κίνδυνο του συνδυασμού του ελαττωματικού σχεδιασμού και της κοινής ανθρώπινης συμπεριφοράς.
Οι ερευνητές εξήγησαν πώς λειτουργεί η επίθεση. Αρχικά, κατά το άνοιγμα του αρχείου, μέσω Foxit PDF Reader, εμφανίζεται ένα αναδυόμενο παράθυρο με την προεπιλεγμένη επιλογή “Trust Once”, που είναι η σωστή προσέγγιση. Όταν οι χρήστες κάνουν κλικ στο “OK”, θα δουν ένα δεύτερο αναδυόμενο παράθυρο. Στις περισσότερες περιπτώσεις, οι χρήστες δεν μπαίνουν στη διαδικασία να διαβάσουν αναλυτικά τι αναφέρει το μήνυμα και πατούν Agree, χωρίς να ξέρουν σε τι ακριβώς συμφωνούν. Έτσι, οι επιτιθέμενοι εκμεταλλεύονται αυτήν την εσφαλμένη λογική, η οποία παρέχει ως προεπιλεγμένη επιλογή την πιο “επιβλαβή”.
Δείτε επίσης: HijackLoader malware: Νέα πιο ισχυρή έκδοση
Περαιτέρω ανάλυση αποκάλυψε πολλαπλές εκστρατείες που αξιοποιούν αυτό το exploit. Κάποιες από αυτές στοχεύουν στην κατασκοπεία και άλλες είναι ευρύτερες επιχειρήσεις ηλεκτρονικού εγκλήματος. Οι ερευνητές λένε ότι αυτές οι καμπάνιες παρουσίασαν εξελιγμένες αλυσίδες επιθέσεων και χρησιμοποίησαν μια ποικιλία κακόβουλων εργαλείων και malware, συμπεριλαμβανομένων των VenomRAT, Agent-Tesla και Remcos.
Ως απάντηση σε αυτά τα ευρήματα, η CPR έχει ειδοποιήσει τον προγραμματιστή του Foxit PDF Reader, που έχει δεσμευτεί να διορθώσει την ευπάθεια το συντομότερο δυνατό.
Προστασία από κακόβουλα έγγραφα και malware
Η χρήση αξιόπιστου και ενημερωμένου λογισμικού antivirus είναι απαραίτητη για την προστασία από malware. Τα antivirus προγράμματα μπορούν να ανιχνεύσουν και να αφαιρέσουν κακόβουλο λογισμικό, καθώς και να παρέχουν συνεχή προστασία σε πραγματικό χρόνο.
Δείτε επίσης: Cuttlefish Malware: Παραβιάζει routers με σκοπό την κρυφή παρακολούθηση
Η τακτική ενημέρωση του λειτουργικού συστήματος και του λογισμικού είναι, επίσης, κρίσιμη. Οι ενημερώσεις περιλαμβάνουν διορθώσεις ασφαλείας που κλείνουν τα κενά που θα μπορούσαν να εκμεταλλευτούν οι επιτιθέμενοι.
Ακολουθεί η χρήση ισχυρών και μοναδικών κωδικών πρόσβασης για κάθε λογαριασμό. Οι κωδικοί πρόσβασης πρέπει να περιλαμβάνουν συνδυασμό γραμμάτων, αριθμών και ειδικών χαρακτήρων για να είναι πιο δύσκολο να σπάσουν.
Η ενεργοποίηση της πολυπαραγοντικής ταυτοποίησης (MFA) προσθέτει ένα επιπλέον επίπεδο ασφάλειας. Ακόμα και αν κάποιος αποκτήσει τον κωδικό πρόσβασής σας, θα χρειαστεί και τον δεύτερο παράγοντα για να αποκτήσει πρόσβαση.
Πολύ σημαντική είναι και η αποφυγή κλικ σε ύποπτους συνδέσμους και συνημμένα αρχεία σε email και μηνύματα. Οι επιτιθέμενοι συχνά χρησιμοποιούν phishing emails για να εξαπατήσουν τους χρήστες και να εγκαταστήσουν malware στους υπολογιστές τους.
Επίσης, μην ξεχνάτε την τακτική δημιουργία αντιγράφων ασφαλείας των δεδομένων. Τέλος, η εκπαίδευση και ευαισθητοποίηση των χρηστών σχετικά με τις απειλές του malware και τις καλύτερες πρακτικές ασφαλείας μπορεί να μειώσει τον κίνδυνο μόλυνσης. Οι χρήστες πρέπει να είναι ενήμεροι για τις τελευταίες τεχνικές που χρησιμοποιούν οι επιτιθέμενοι.
Πηγή: www.infosecurity-magazine.com
