بوسطة: Check Point

حددت شركة شيك بوينت Check Point Research نمطًا غير عادي من السلوك الذي يتضمن استغلال ملفات بي دي إف PDF، ويستهدف بشكل أساسي مستخدمي برنامج Foxit Reader. يؤدي هذا الاستغلال إلى إطلاق تحذيرات أمنية قد تخدع المستخدمين المطمئنين لتنفيذ أوامر ضارة.

لاحظت شركة Check Point Research وجود أشكال مختلفة من هذا الاستغلال يتم استخدامها بشكل نشط في النظامزالبيئي لشبكة الويب. يُعزى معدل اكتشافه المنخفض إلى الاستخدام السائد لبرنامج Adobe Reader في معظم صناديق الحماية أو حلول مكافحة الفيروسات، حيث إن Adobe Reader ليس عرضة لهذا الاستغلال المحدد. بالإضافة إلى ذلك، لاحظت شركة Check Point Research العديد من أدوات إنشاء الثغرات، بدءًا من تلك التي تم ترميزها في .NET إلى تلك المكتوبة في Python، والتي يتم استخدامها لنشر هذا الاستغلال.

اكتشفت شركة Check Point Research أن العينات من  EXPMON  أنتجت سلوكًا غير عادي عند تنفيذها باستخدام برنامج Foxit Reader مقارنةً ببرنامج Adobe Reader. ويتم استغلال الضحايا من خلال تصميم معيب في برنامج Foxit Reader، والذي يظهر كخيار افتراضي "موافق"، مما قد يدفع غالبية الأهداف إلى تجاهل تلك الرسائل وتنفيذ التعليمات البرمجية الضارة. يتم تنفيذ الأمر الخبيث بمجرد "موافقة" الضحية على الخيارات الافتراضية مرتين.

قامت Check Point Research بجمع عدد كبير من ملفات PDF الضارة، مستفيدة من الاستغلال المحدد الذي يستهدف مستخدمي Foxit Reader. على الرغم من فشل غالبية صناديق الحماية وVirusTotal في تفعيل هذا الاستغلال، نظرًا لانتشار Adobe باعتباره قارئ PDF الأساسي، ظلت العديد من الملفات من الحملات السابقة دون استرداد. ومع ذلك، فقد حصلنا على كمية كافية من الحمولات المسقطة من مصادر مختلفة، مما كشف عن مجموعة متنوعة من الأدوات الضارة ضمن سلسلة العدوى وعائلات البرامج الضارة البارزة.