Хакеры в очередной раз пользуются невнимательностью жертв для проникновения в системы.
Команда Check Point Research обнаружила эксплойт, нацеленный на пользователей Foxit Reader, который использует невнимательность пользователей для выполнения вредоносного кода.
Множество злоумышленников уже активно применяют данный эксплойт, который базируется на недостатках в системе предупреждений Foxit Reader. Когда пользователь открывает зараженный PDF-файл, срабатывает предупреждение безопасности. Если невнимательный пользователь дважды соглашается с настройками по умолчанию, эксплойт загружает и выполняет вредоносный код с удалённого сервера.
Заражение происходит по такому сценарию:
- при открытии файла появляется первое всплывающее окно с выбором по умолчанию «Доверять один раз»;
- после нажатия «ОК» в первом окне всплывает второе окно с сообщением, предупреждающим об опасности заражения;
- жертва разрешает открыть файл, не читая сообщение.
Злоумышленники пользуются таким поведением цели, предоставляя наиболее «вредоносный» выбор по умолчанию.
Всплывающие окна в Foxit Reader
Исследователи отмечают, что успешные заражения и низкий уровень обнаружения позволяют распространять вредоносные PDF-файлы нестандартными способами, в частности, через Facebook*, избегая при этом обнаружения. Использование эксплойта варьируется от шпионских кампаний до киберпреступлений, включающих сложные цепочки атак.
В одном из случаев группировка APT-C-35 (DoNot Team) смогла провести гибридные кампании, нацеленные как на устройства Windows, так и на Android, что привело к обходу двухфакторной аутентификации (2FA). Эксплойт также применялся различными киберпреступниками для распространения наиболее известных семейств вредоносного ПО, таких как VenomRAT, Agent Tesla, Remcos и другие.
В одной из вредоносных кампаний специалисты Check Point отслеживали ссылки, распространявшиеся через Facebook, что в конечном итоге привело к длинной цепочке атак, включающей установку инфостилера и двух криптомайнеров. В другой кампании злоумышленник под ником @silentkillertv использовал два связанных PDF-файла, один из которых был размещен на легитимном сайте trello.com.
Исследователи смогли получить несколько утилит, которыми хакеры создавали вредоносные PDF-файлы. Большинство PDF-файлов выполняли команду PowerShell для загрузки вредоносного кода с удалённого сервера, хотя в некоторых случаях использовались и другие команды.
Цепочка атаки
Эксплойт классифицируется исследователями как форма фишинга или социальной инженерии, нацеленной на пользователей Foxit Reader, а не как классическая вредоносная активность. Киберпреступники заставляют пользователей привычно нажимать «ОК», не осознавая возможных рисков.
В Foxit Reader признали проблему и сообщили Check Point, что она будет решена в версии 2024 3. Тем временем пользователям настоятельно рекомендуется быть внимательными и осторожными при открытии PDF-файлов из неизвестных источников.
* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.
Ваши данные уже украдены. Вопрос лишь в том, когда их используют против вас.
Узнайте, как защититься!
Зеркала сайта Kraken в даркнете предоставляют пользователям доступ к платформе анонимных покупок, когда основной адрес недоступен. Однако, как и с любым ресурсом в даркнете, важно быть осторожными, использовать проверенные ссылки и знать о возможных рисках. Обеспечение безопасности и анонимности — ключевые моменты при использовании таких платформ.
Как пользоваться зеркалом Kraken:
-
Установите Tor: Чтобы получить доступ к зеркалу, пользователям необходимо установить Tor-браузер, который обеспечивает анонимное соединение и защиту данных.
-
Используйте VPN: Рекомендуется использовать VPN для дополнительной безопасности, так как это помогает скрыть ваш реальный IP-адрес.
-
Ищите актуальные ссылки: Поскольку зеркала могут изменяться, важно искать проверенные и актуальные ссылки. Вы можете получить их из надежных источников или сообществ, которые обсуждают даркнет.
-
Проверка безопасности: Прежде чем вводить свои данные или совершать сделки, убедитесь, что вы находитесь на безопасном зеркале. Это можно сделать, проверив отзывы и репутацию сайта.
