Campanhas exploram confirmações enganosas do leitor de PDF para iniciar cadeias com downloaders, coleta de arquivos, persistência, stealer em Python e mineradores.
| Componente | Foxit PDF Reader ao processar documentos PDF com ações de abertura que usam chaves como /OpenAction, /Launch, /Win, /F e /P. |
| Vetor | Documento PDF malicioso aberto por um usuário do Foxit Reader; a cadeia depende de duas confirmações em janelas de segurança nas quais a opção padrão favorece a continuidade da ação. |
| Impacto | Execução de comandos externos e início de cadeias de malware que podem baixar executáveis, registrar o host, persistir por chave Run, coletar arquivos locais e enviar conteúdo para infraestrutura de comando e controle. |
| Prioridade | Reduzir exposição ao Foxit Reader vulnerável a esse fluxo, bloquear PDFs com /Launch, revisar telemetria de processos filhos do leitor e investigar downloads iniciados logo após a abertura de documentos. |
| Artefatos | Foram observados caminhos como %Appdata%/TestLog/, %Appdata%/Intel/index.exe, %Appdata%/Intel/upload.exe, %Appdata%/Intel/Mozila/Systems.exe, %AppData%/htdocs/ e %Startup%/WindowsUpdate.bat. |
| IoCs | Exemplo defangado citado no material técnico: hxxps://mailservicess[.]com/ghijkl/ghijkl/index.php; o restante deve ser tratado por classes de indicador e não por lista ampla. |
Uma técnica de abuso contra o Foxit PDF Reader explora uma decisão de interface e fluxo de confiança no tratamento de ações embutidas em PDFs. O documento malicioso usa estruturas legítimas do formato PDF para declarar uma ação automática na abertura do arquivo e, em seguida, induz o leitor a apresentar alertas de segurança. O ponto crítico não é apenas a existência do alerta, mas a forma como o usuário é conduzido pela sequência: a opção padrão permite avançar, e a segunda confirmação pode ser aceita por hábito depois da primeira interação. Quando as duas confirmações são concedidas, o leitor aciona um comando externo definido no próprio documento, abrindo caminho para downloaders, scripts auxiliares e cargas posteriores.
A atividade foi observada em campanhas diferentes, com objetivos que variam entre espionagem e crime eletrônico. O mesmo mecanismo inicial aparece em PDFs com nomes de isca distintos e em cadeias que baixam executáveis, arquivos BAT, componentes em Python, mineradores e ferramentas de coleta. A detecção tende a ser prejudicada quando ambientes automatizados analisam o documento com Adobe Reader ou outro leitor que não reproduz o comportamento do Foxit Reader. Isso cria uma lacuna prática: o PDF pode parecer inofensivo em sandboxes que não exercitam a superfície afetada, enquanto a execução real em um endpoint com Foxit Reader dispara o fluxo de comprometimento.
O caso também mostra por que documentos PDF continuam sendo uma superfície relevante para engenharia social e execução indireta. O formato permite ações de abertura, referências a objetos internos e parâmetros para aplicações externas. Em leitores que implementam esse comportamento com permissões dependentes de consentimento do usuário, a proteção fica parcialmente deslocada para a interface. Quando o alerta oferece como caminho natural a continuidade da ação, operadores maliciosos podem combinar um arquivo aparentemente comum, um nome compatível com o interesse da vítima e uma cadeia de download para alcançar execução no sistema sem depender de uma exploração tradicional de corrupção de memória.
A estrutura estática dos PDFs analisados usa o catálogo do documento para apontar a raiz por meio de /Root e chegar a um objeto que contém /OpenAction. Essa chave define uma ação disparada quando o documento é aberto. Em seguida, a ação usa /S /Launch para solicitar o lançamento de uma aplicação externa no Foxit Reader, enquanto /Win fornece detalhes específicos para Windows. As chaves /F e /P completam o fluxo ao indicar o programa e os parâmetros associados. Essa combinação não significa, isoladamente, que todo PDF seja malicioso, mas, nos exemplos analisados, ela foi usada para levar o leitor a acionar interpretadores e utilitários do sistema que recuperam cargas remotas.
A diferença operacional relevante está no comportamento do leitor. No Foxit Reader, a sequência dispara duas janelas de aviso antes da execução da ação externa. A primeira apresenta uma decisão de confiança temporária; a segunda confirma a ação associada ao documento. A exploração depende do usuário aceitar as opções padrão. O material técnico descreve que o Adobe Reader não aciona a mesma cadeia para a chave /Launch, o que explica por que amostras podem não se comportar de forma maliciosa em ambientes que usam o leitor da Adobe como padrão de análise. Para defesa, isso significa que a ausência de execução em sandbox não deve encerrar a triagem quando a amostra contém ações de lançamento e foi recebida por usuários que usam Foxit Reader.
Em uma campanha com tema militar, um PDF com nome relacionado a eventos de defesa baixava um downloader. O componente inicial registrava informações da máquina em %Appdata%/TestLog/$PC_Name.txt, enumerava arquivos nessa área e enviava dados para um endpoint de comando e controle defangado como hxxps://mailservicess[.]com/ghijkl/ghijkl/index.php. Depois do registro do host, a cadeia recuperava dois executáveis salvos como %Appdata%/Intel/index.exe e %Appdata%/Intel/upload.exe. O primeiro componente listava unidades locais e copiava arquivos com extensões de interesse para %AppData%/htdocs/; o segundo enumerava essa pasta e fazia o envio usando a mesma lógica de comunicação. O malware também copiava a si mesmo para %Appdata%/Intel/Mozila/Systems.exe e criava persistência em SOFTWARE\Microsoft\Windows\CurrentVersion\Run com o valor TailoredExperiencesWithDiagnosticDataEnabled.
Outras cadeias usaram PDFs para iniciar arquivos BAT e componentes em Python. Em um caso, o documento acionava comando operacional omitido e usava curl para recuperar um BAT, que abria uma página legítima no navegador, possivelmente como distração ou como indício da plataforma de entrega usada contra a vítima. O fluxo seguinte gravava WindowsUpdate.bat em %Startup%, instalava Python 3.9 em C:\Users\Public\python, baixava um arquivo Python e acionava mineradores hospedados em repositório GitLab. Outra variação baixava um arquivo Python de DiscordApp, salvo como lol.pyw, associado ao projeto aberto Blank-Grabber, que inclui recursos de coleta de dados, antianálise, construtor gráfico e técnicas descritas como bypass de UAC e antimaquina virtual.
A superfície principal é composta por estáções de trabalho que usam Foxit PDF Reader para abrir documentos recebidos por e-mail, mensageria, redes sociais, portais de download ou links compartilhados. O risco aumenta quando o usuário tem permissão para iniciar processos filhos a partir do leitor, acessar interpretadores do sistema, gravar em diretórios de perfil e manter persistência em áreas de inicialização. Ambientes que tratam PDF como conteúdo de baixo risco, mas permitem execução de utilitários como comando operacional omitido, comando operacional omitido, curl ou Python sem controle contextual, ficam mais expostos à etapa posterior à confirmação do alerta.
A exploração não exige, pelos dados disponíveis, uma falha de execução silenciosa sem interação. O fluxo observado depende do consentimento em duas janelas, o que torna a educação do usuário útil, mas insuficiente como controle primário. A defesa deve considerar que a interface favorece a opção perigosa e que campanhas reais já usaram esse detalhe para contornar a atenção do usuário. Também é importante observar que o documento pode ser distribuído por link, não apenas como anexo, e que alguns operadores recorreram a canais não tradicionais, incluindo rede social, para fazer o PDF chegar ao alvo com baixa taxa de detecção inicial.
As cadeias descritas afetam arquivos em perfis de usuário, documentos, imagens, arquivos compactados, bancos de dados locais e outros conteúdos encontrados em unidades como C:\, D:\, E:\, F:\, G:\, H:\, I:\ e Z:\. Em paralelo, as variações com mineradores afetam capacidade computacional, persistência de inicialização e tráfego de saída. A presença de Android e Rafel RAT foi citada como evidência adicional em uma campanha com capacidade híbrida e possível contorno de autenticação de dois fatores, mas a matéria técnica disponível não permite generalizar esse comportamento para todas as amostras de PDF analisadas.
A atribuição deve ser tratada com cuidado. A campanha de espionagem foi associada a APT-C-35 / DoNot Team no material técnico, com base em cadeia de ataque, ferramentas e dados obtidos de vítimas. Ao mesmo tempo, o mecanismo de PDF foi usado por vários operadores, incluindo crime eletrônico. Portanto, encontrar um PDF com essa técnica não basta para concluir o ator. A classificação precisa combinar isca, infraestrutura, cargas baixadas, persistência, alvos, horários, artefatos de build e telemetria pós-execução.
- Estáções com Foxit PDF Reader como leitor padrão para documentos recebidos externamente.
- Ambientes onde leitores de PDF podem iniciar
comando operacional omitido,comando operacional omitido,curl, Python ou executáveis baixados. - Usuários que recebem PDFs por links, rede social, e-mail ou canais de colaboração sem inspeção de ações
/Launch. - Endpoints com permissões de gravação em
%Appdata%,%Startup%,C:\Users\Public\pythone chaves Run do usuário.
A busca defensiva deve começar pela relação entre processo pai e processo filho. Eventos em que o Foxit Reader inicia comando operacional omitido, comando operacional omitido, curl, Python, arquivos BAT, VBS ou executáveis em diretórios de perfil são sinais de alta prioridade. A telemetria precisa capturar linha de comando com cuidado suficiente para identificar o programa acionado e o caminho do artefato, mas a publicação defensiva não deve depender de reproduzir comandos completos. O valor está em detectar a transição incomum: um leitor de PDF abrindo um interpretador, seguido por conexão de rede e gravação de payload.
Em endpoints, procure criação de arquivos em %Appdata%/TestLog/, %Appdata%/Intel/, %Appdata%/Intel/Mozila/, %AppData%/htdocs/, %AppData%/output.exe, %Startup%/WindowsUpdate.bat e C:\Users\Public\python. A chave SOFTWARE\Microsoft\Windows\CurrentVersion\Run com nome TailoredExperiencesWithDiagnosticDataEnabled e valor apontando para %Appdata%/Intel/Mozila/Systems.exe é um artefato concreto de persistência observado em uma das cadeias. Também vale procurar criação de index.exe, upload.exe, lol.pyw, config.vbs e arquivos ZIP relacionados a mineradores, sempre correlacionando com abertura recente de PDF.
Na rede, a defesa deve buscar conexões iniciadas pouco depois da abertura de documentos, especialmente quando o processo ancestral é o Foxit Reader. O endpoint defangado hxxps://mailservicess[.]com/ghijkl/ghijkl/index.php foi usado em uma cadeia para registro de host e envio de arquivos, mas a estratégia de hunting não deve se limitar a esse domínio. Classes de tráfego relevantes incluem download de executáveis a partir de servidores remotos, recuperação de arquivos Python por serviços de hospedagem comuns, chamadas para repositórios que entregam arquivos compactados e upload de conteúdo coletado de diretórios temporários ou de perfil.
Na análise de amostras, sandboxes devem usar o mesmo leitor exposto na organização. Se a infraestrutura automatizada abrir o documento apenas com Adobe Reader, a etapa baseada em /Launch pode não ser exercitada. A triagem estática deve sinalizar PDFs que combinam /OpenAction, /S /Launch, /Win, /F e /P, principalmente quando o arquivo foi recebido de origem externa, tem tema de evento, defesa, atualização, documento financeiro ou outro assunto de engenharia social. Essa triagem deve ser combinada com detonadores específicos para Foxit Reader e com bloqueios preventivos em gateways de e-mail e navegação.
- Processo
FoxitPDFReader.exeou equivalente iniciando interpretadores, utilitários de download, BAT, VBS, Python ou executáveis em perfil de usuário. - Criação ou modificação de
%Startup%/WindowsUpdate.bat,%Appdata%/Intel/upload.exe,%Appdata%/Intel/index.exee%Appdata%/Intel/Mozila/Systems.exe. - Escrita na chave Run
TailoredExperiencesWithDiagnosticDataEnabledapontando para binário em%Appdata%. - PDFs com
/OpenActione/Launchem análise estática, principalmente quando acompanhados de parâmetros para Windows. - Conexões de saída logo após a abertura do PDF, seguidas por criação de arquivos em
%AppData%/htdocs/ou por upload para infraestrutura externa.
A resposta deve priorizar redução de execução a partir do leitor de PDF e atualização do parque afetado conforme orientação do fornecedor. Em paralelo, controles de EDR, App Control e políticas de ataque devem impedir que leitores de documentos iniciem comando operacional omitido, comando operacional omitido, curl, Python, BAT, VBS ou executáveis gravados em diretórios de usuário sem justificativa operacional. Quando a organização depende do Foxit Reader, é recomendável validar configurações de segurança do produto, bloquear ações de lançamento quando possível e orientar usuários para negar solicitações de confiança ou execução vindas de PDFs inesperados.
No perímetro de conteúdo, gateways de e-mail, proxy e soluções de análise devem inspecionar a estrutura do PDF e não apenas reputação de arquivo. Documentos com ação automática de abertura e lançamento externo devem ser bloqueados, isolados ou enviados para análise especializada. Como a técnica pode apresentar baixa detecção em ambientes que usam o leitor errado para detonação, a política de sandbox deve incluir perfis com Foxit Reader quando esse aplicativo existir no parque. Isso reduz o espaço entre o comportamento observado em laboratório e a execução real no endpoint.
Para contenção de incidentes, hosts com sinais dessa cadeia precisam ser isolados antes da coleta, porque algumas variações incluem uploader, stealer ou minerador. A investigação deve reconstruir a linha do tempo desde a abertura do PDF, identificar processos filhos, arquivos criados, persistência, conexões externas e conteúdo copiado para diretórios de staging. Em seguida, remova persistências, apague artefatos confirmados como maliciosos, revise credenciais e sessões que possam ter sido acessadas por stealers e verifique se houve envio de arquivos. Quando houver coleta de documentos, imagens, arquivos compactados ou bancos locais, o impacto deve ser avaliado por tipo de dado, não por suposição genérica.
A validação final precisa confirmar que o controle bloqueia o comportamento, não apenas uma amostra específica. Testes defensivos internos podem usar PDFs benignos de laboratório que contenham a mesma classe estrutural de ação, sem baixar cargas reais, para verificar se a telemetria registra o evento e se as políticas impedem processo filho indevido. O objetivo é transformar a técnica em regra de controle: documento não deve acionar interpretador, interpretador não deve baixar conteúdo remoto a partir do contexto do leitor, e diretórios de perfil não devem hospedar binários persistentes sem aprovação.
- Atualizar o Foxit Reader e revisar configurações que permitam ações externas iniciadas por PDF.
- Bloquear ou alertar quando leitores de PDF iniciarem
comando operacional omitido,comando operacional omitido,curl, Python, BAT, VBS ou executáveis em%Appdata%. - Adicionar detonação com Foxit Reader em sandboxes quando o produto existir no ambiente corporativo.
- Criar regra de inspeção para PDFs contendo
/OpenActioncombinado com/Launche parâmetros de Windows. - Investigar e remover persistências em
%Startup%eSOFTWARE\Microsoft\Windows\CurrentVersion\Runquando associadas aos artefatos descritos.
0 Comentários