Check Point Software Technologiesは5月14日(米国時間)、「Foxit PDF Reader “Flawed Design” : Hidden Dangers Lurking in Common Tools - Check Point Blog」において、Foxit PDF Readerを標的とするエクスプロイトを確認したと伝えた。このエクスプロイトは、サイバー攻撃に悪用されていることが観察されている。

  • Foxit PDF Reader “Flawed Design” : Hidden Dangers Lurking in Common Tools - Check Point Blog

    Foxit PDF Reader “Flawed Design” : Hidden Dangers Lurking in Common Tools - Check Point Blog

エクスプロイトの概要

発見されたエクスプロイトは、Foxit PDF Readerの警告メッセージに存在する欠陥を悪用する。Foxit PDF Readerの警告メッセージはデフォルトで「Open」などの危険な選択肢にフォーカスがある状態で表示される。そのため、警告を確認しないユーザーがエンターキーを連続して押した場合、悪意のあるコマンドが実行される可能性がある。

  • デフォルトで「Open」にフォーカスがある警告メッセージ - 引用:Check Point

    デフォルトで「Open」にフォーカスがある警告メッセージ 引用:Check Point

Check Pointによると、このエクスプロイトは次のマルウェアを配布する攻撃者に積極的に悪用されているという。

  • VenomRAT
  • Agent-Tesla
  • Remcos
  • NjRAT
  • NanoCore RAT
  • Pony
  • Xworm
  • AsyncRAT
  • DCRat

影響と対策

攻撃者は被害者の心理を上手に操作し、警告メッセージの選択肢から選択すべきではないボタンを押させる。その結果、被害者のデバイスは情報窃取マルウェアや暗号資産マイナーなどに侵害される。

  • エクスプロイトが使用された事案の侵害経路の例 - 引用:Check Point

    エクスプロイトが使用された事案の侵害経路の例  引用:Check Point

Check Pointは調査においてエクスプロイトを使用する悪意のあるPDFファイルを複数入手している。これらPDFファイルの多くはリモートサーバからペイロードをダウンロードするPowerShellコマンドを実行するが、一部は他のコマンドを使用するとされる。

Foxitはこのエクスプロイトの問題を認め、バージョン2024.3にて修正する予定としている。Foxit PDF Readerのユーザーは警告メッセージを注意深く観察し、脅威アクターの誘導に従わず、悪意のあるコマンドを実行しないように行動することが推奨されている。