ーTech for Human Evolutionー

最新ニュース一覧

人気のカテゴリ

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーと社会
ロボティクス
ヘルスケア
ブロックチェーン
半導体
もっと見る

人気のタグ

著作権 今日は何の日 インタビュー Google Apple AWS OpenAI Anthropic Meta Microsoft XREAL Android_XR Nvidia

ホーム » サイバーセキュリティ » サイバーセキュリティニュース »

Foxit PDF Readerの欠陥、ハッカーがマルウェア配信に悪用

Foxit PDF Readerの欠陥、ハッカーがマルウェア配信に悪用 - innovaTopia - (イノベトピア)

Last Updated on 2024-07-08 08:06 by 門倉 朋宏

ハッカーがFoxit PDF Readerの設計上の欠陥を悪用して、Agent Tesla、AsyncRAT、DCRat、NanoCore RAT、NjRAT、Pony、Remcos RAT、XWormなど様々なマルウェアを配信している。この脆弱性は、ユーザーが特定の機能を有効にする前に文書を信頼するかどうかを尋ねるポップアップで「OK」がデフォルトの選択肢として表示されることに起因している。ユーザーがOKをクリックすると、追加のコマンドを実行する前に警告する別のポップアップが表示され、「開く」がデフォルトの選択肢となる。このコマンドはDiscordのコンテンツ配信ネットワーク(CDN)にホストされた悪意のあるペイロードをダウンロードして実行するために使用される。

この攻撃は、軍事テーマのPDF文書を介して実行され、ダウンローダーを介して2つの実行可能ファイルを取得し、ドキュメント、画像、アーカイブファイル、データベースをコマンドアンドコントロール(C2)サーバーにアップロードする。さらに、感染したホストのスクリーンショットをキャプチャしてC2サーバーにアップロードする第三のペイロードをドロップすることも可能である。この活動は、以前に観察された戦術や技術との重複を指摘して、DoNot Team(別名APT-C-35およびOrigami Elephant)に関連付けられている。

別の攻撃例では、スティーラーと2つの暗号通貨マイナーモジュール(XMRigおよびlolMiner)を展開するために同じ技術を悪用している。一部の罠にかかったPDFファイルはFacebook経由で配布されている。Pythonベースのスティーラーマルウェアは、ChromeおよびEdgeブラウザから被害者の資格情報とクッキーを盗むように設計されており、マイナーはtopworld20241というユーザー名のGitlabリポジトリから取得される。

Foxitはこの問題を認識しており、2024年のバージョン3で修正をロールアウトする予定である。現在のバージョンは2024.2.1.25153である。この脆弱性は、Foxit PDF Readerユーザーを標的とした「フィッシング」または操作の一形態としてより正確に分類される可能性がある。

【ニュース解説】

Foxit PDF Readerの設計上の欠陥がハッカーによって悪用され、Agent Tesla、AsyncRAT、DCRat、NanoCore RAT、NjRAT、Pony、Remcos RAT、XWormなど、多種多様なマルウェアを配信する手段として使用されていることが明らかになりました。この脆弱性は、ユーザーが文書を信頼し、特定の機能を有効にするかどうかを尋ねる際に表示されるポップアップで、「OK」がデフォルトの選択肢として設定されている点に起因します。ユーザーが「OK」をクリックすると、追加のコマンドを実行する前に警告する別のポップアップが表示され、「開く」がデフォルトの選択肢となります。このコマンドは、Discordのコンテンツ配信ネットワーク(CDN)にホストされた悪意のあるペイロードをダウンロードして実行するために使用されます。

この攻撃の一例として、軍事テーマのPDF文書が使用され、この文書を開くことで、ダウンローダーが実行され、2つの実行可能ファイルを取得し、これらのファイルがドキュメント、画像、アーカイブファイル、データベースをコマンドアンドコントロール(C2)サーバーにアップロードします。さらに、このダウンローダーは、感染したホストのスクリーンショットをキャプチャしてC2サーバーにアップロードする第三のペイロードをドロップする能力も持っています。この活動は、以前に観察された戦術や技術との重複を指摘して、DoNot Team(別名APT-C-35およびOrigami Elephant)に関連付けられています。

別の攻撃例では、スティーラーと2つの暗号通貨マイナーモジュール(XMRigおよびlolMiner)を展開するために同じ技術が悪用されています。興味深いことに、一部の罠にかかったPDFファイルはFacebook経由で配布されています。Pythonベースのスティーラーマルウェアは、ChromeおよびEdgeブラウザから被害者の資格情報とクッキーを盗むように設計されており、マイナーはGitlabリポジトリから取得されます。

Foxitはこの問題を認識しており、2024年のバージョン3で修正をロールアウトする予定です。この脆弱性は、Foxit PDF Readerユーザーを標的とした「フィッシング」または操作の一形態としてより正確に分類される可能性があります。

この事例は、ソフトウェアの設計上の欠陥がどのようにして悪意ある行為に悪用され得るかを示しています。ユーザーは、ポップアップの警告に注意深く対応し、不審な文書を開かないようにすることが重要です。また、ソフトウェア開発者は、ユーザーインターフェースの設計を慎重に検討し、セキュリティリスクを最小限に抑えるよう努める必要があります。このような攻撃は、個人情報の盗難やシステムの不正利用につながる可能性があり、セキュリティ対策の重要性を改めて浮き彫りにしています。

from Foxit PDF Reader Flaw Exploited by Hackers to Deliver Diverse Malware Arsenal.

投稿者アバター
admin
自己紹介の全文を表示
読み込み中…
読み込み中…