サイバーセキュリティ研究者らは、PDFのエクスプロイトにおける憂慮すべき傾向を明らかにしており、特にFoxit Readerのユーザーが標的となっています。
Adobe Acrobat Readerが市場で支配的であるにもかかわらず、Foxit Readerは重要なプレイヤーとして台頭しており、世界中で7億人以上のユーザーを抱え、政府およびテクノロジー分野の主要顧客も含まれています。
Check Point Research(CPR)は、Foxit Readerユーザーを狙ったPDFエクスプロイトの明確なパターンを検出しており、実環境で積極的に利用されている亜種も確認されています。
火曜日に公開された勧告によると、このエクスプロイトの検知率が低いのは、多くのセキュリティソリューションがAdobe Readerを広く利用している一方で、Foxitが脆弱な状態に置かれているためだとされています。.NETやPythonなどさまざまな言語で書かれたエクスプロイトビルダーが、マルウェアの展開に用いられてきました。
特筆すべきことに、このエクスプロイトを利用するキャンペーンが、Facebookのような非従来型のチャネルを通じて悪意あるPDFファイルを共有している様子が観測されています。
研究により、Foxit Readerの設計上の欠陥が明らかになりました。ユーザーには既定の選択肢が提示され、それが意図せず悪意あるコマンドの実行につながる可能性があります。ユーザーが関連するリスクを十分に理解しないままこれらの既定の選択肢に同意すると悪用が成立し、欠陥のあるソフトウェア設計と一般的な人間の行動が交差する点が浮き彫りになっています。
「被害者のシナリオは以下のとおりです。ファイルを開くと最初のポップアップが表示され、既定の選択肢は『一度だけ信頼』で、 これは正しいアプローチです」とCPRは記しました。「『OK』をクリックすると、標的は2つ目のポップアップに遭遇します。仮に標的ユーザーが最初のメッセージを読む可能性があったとしても、2つ目は読まずに『同意』してしまうでしょう。脅威アクターは、この欠陥のあるロジックと一般的な人間の行動を悪用しており、既定の選択肢として最も『有害』なものが提示されるようになっています。」
さらなる分析により、このエクスプロイトを活用する複数のキャンペーン事例が明らかになりました。軍関係者を標的とした諜報目的の攻撃から、より広範なeクライム(電子犯罪)作戦まで多岐にわたります。これらのキャンペーンは高度な攻撃チェーンを示し、VenomRAT、Agent-Tesla やRemcosなど、さまざまな悪意あるツールおよびマルウェアファミリーを使用していました。
これらの調査結果を受けて、CPR はFoxit Readerに通知し、Foxitは問題を認識したうえで、今後リリース予定の2024 3バージョンで解決することを約束しました。
PDFエクスプロイトキャンペーンについて詳しく読む:PDFマルウェアの増加、WikiLoader、Ursnif、DarkGateの拡散に使用
本研究は、進化する脅威に対して警戒を維持し、適時のソフトウェア更新を実施し、従業員のサイバーセキュリティ意識を醸成する重要性を強調しています。
翻訳元: https://www.infosecurity-magazine.com/news/pdf-exploitation-targets-foxit/
