Киберпреступники доставляют эксплойт пользователям Foxit PDF Reader

Киберпреступники доставляют эксплойт пользователям Foxit PDF Reader

Киберпреступники доставляют эксплойт пользователям Foxit PDF Reader

Злоумышленники используют несовершенства всплывающих предупреждений Foxit PDF Reader для доставки вредоноса пользователям через зараженные PDF-файлы. Foxit PDF Reader насчитывает более 700 миллионов юзеров по всему миру, у компании есть клиенты в правительственном и технологическом секторах.

Исследователи из Check Point провели анализ некоторых кампаний, применяющих данную схему атак, и пришли к выводу, что хакеры используют различные конструкторы эксплойтов .NET и Python, наиболее популярным из которых является «PDF Exploit Builder». 

Он применяется для создания PDF-документов с макросами, выполняющими команды-скрипты, которые загружают и исполняют вредоносные программы (Agent Tesla, Remcon RAT, Xworm, NanoCore RAT и другие).

Специалисты пояснили, что в используемом для эксплойта шаблоне PDF содержится текст-заполнитель, который должен быть заменен, когда пользователь введет URL-адрес для загрузки вредоносного файла.

Некоторые всплывающие предупреждения при открытии файлов-ловушек в Foxit Reader делают вредоносную опцию выбором по умолчанию, а хакеры активно этим пользуются.

Перед пользователем последовательно открываются два всплывающих окна. Первое предупреждает об отключении функций во избежание потенциальных рисков безопасности, просит пользователя либо доверять этому документу только один раз, либо всегда (первый вариант является вариантом по умолчанию, а также более безопасным).

После нажатия кнопки «ОК» всплывает еще одно предупреждение:

 

Если пользователь, не прочитав текст предупреждения, примет опции по умолчанию, он позволит Foxit выполнить вредоносную команду.

Специалисты утверждают, что данный эксплойт уже много лет популярен среди киберпреступников благодаря успешности заражения и низкому проценту обнаружения из-за использования Adobe большинством AV и песочниц.

Исследователи Check Point сообщили Foxit о проблеме. Компания пообещала, что устранит ее в версии 2024 3.

Антонис Терефос, инженер по реверсингу из Check Point Research, предположил, что надежнее всего было бы обнаружить и отключить эти типы выполнения CMD. По его мнению, Foxit, скорее всего, просто изменят опции по умолчанию на "Не открывать".

На ЕГЭ впервые массово попытались списать с помощью ИИ

На ЕГЭ-2026 впервые выявили не одиночную попытку воспользоваться искусственным интеллектом, а целую схему с участием большого числа школьников. Об этом сообщил глава Рособрнадзора Анзор Музаев.

По его словам, за проектом стояли взрослые, которые создали специальную фирму, продавали микронаушники и разработали приложение с ИИ.

Сервис должен был подсказывать ответы и помогать участникам набрать высокие баллы.

Схему удалось вовремя раскрыть, а экзаменационные работы аннулировали. В Рособрнадзоре считают случай пока единичным, но предупреждают: если не реагировать, ИИ-шпаргалки быстро превратятся из экзотики в полноценную индустрию.

Ирония в том, что ловить нарушителей тоже помогал искусственный интеллект. На экзаменах работает система машинного зрения, которая отмечает подозрительное поведение в аудиториях. В 2020 году она выявила 21 возможное нарушение, в 2021-м — 137, а в 2026-м выдала уже 803 метки.

Более 90% случаев, закончившихся удалением с экзамена, сначала заметила нейросеть. Правда, окончательное решение всё равно принимал человек: каждую метку проверял модератор.

Первого нарушителя на досрочном этапе ЕГЭ-2026 также вычислило машинное зрение.

Получилась почти идеальная технологическая дуэль: один ИИ помогал списывать, другой — ловил списывающих. И пока победила нейросеть, которая сидела на стороне экзаменаторов.

RSS: Новости на портале Anti-Malware.ru