Vários atores mal-intencionados estão aproveitando uma falha de design no Foxit PDF Reader para distribuir uma variedade de malwares, como Agent Tesla, AsyncRAT, DCRat, NanoCore RAT, NjRAT, Pony, Remcos RAT e XWorm. O problema decorre do fato de que o aplicativo mostra “OK” como a opção padrão em um pop-up quando os usuários são solicitados a confiar no documento antes de habilitar certas funcionalidades para evitar riscos de segurança.

Uma vez que o usuário clica em OK, ele é exibido um segundo pop-up alertando que o arquivo está prestes a executar comandos adicionais, com a opção “Abrir” definida como padrão.

O comando acionado é então usado para baixar e executar uma carga maliciosa hospedada na rede de entrega de conteúdo (CDN) do Discord. Análises adicionais da cadeia de ataque revelaram que o downloader também poderia ser usado para soltar uma terceira carga capaz de capturar capturas de tela do host infectado, que são então enviadas ao servidor C2.

O uso do Discord, Gitlab e Trello demonstra o abuso contínuo de sites legítimos por atores de ameaça para se misturar ao tráfego de rede normal, evadir a detecção e distribuir malware. O Foxit reconheceu o problema e espera lançar uma correção na versão 2024.3. A versão atual é 2024.2.1.25153. Embora este ‘exploit’ não se encaixe na definição clássica de desencadear atividades maliciosas, ele poderia ser mais precisamente categorizado como uma forma de ‘phishing’ ou manipulação direcionada aos usuários do Foxit PDF Reader, induzindo-os a clicar habitualmente em ‘OK’ sem entender os riscos potenciais envolvidos.