Známy program na čítanie PDF súborov s 700-miliónmi používateľov otvára hackerom dvere do zariadenia. Na toto si dajte pozor!
Hackeri zneužívajú zle navrhnutý dizajn aplikácie, ktorý nabáda používateľov, aby odsúhlasili spustenie infikovaného súboru.
S najväčšou pravdepodobnosťou aj vy používate PDF súbory. Ide o vôbec jeden z najrozšírenejších typov súborov, aké na počítačoch alebo aj smartfónoch a ďalších zariadeniach nájdeme.
Keď sa pozrieme na prehliadače PDF súborov, tak jednoznačne dominuje Adobe Acrobat Reader, no na krk mu dýcha softvér známy ako Foxit PDF Reader, ktorý patrí medzi obľúbené programy prakticky naprieč celým svetom. Má používateľskú základňu cez 700-miliónov používateľov naprieč 200 krajinami. Výnimkou nie je ani náš región, kde je tento program nesmierne populárny.
Program Foxit PDF Reader má zle navrhnutý dizajn, ktorý zneužívajú hackeri
Výskumníkom z Check Point Research sa podarilo identifikovať nezvyčajné správanie tohto programu, ktoré môžu zneužiť útočníci na to, aby vykonali škodlivé operácie v zariadení obete.
Útočníci využívajú klamlivé vyskakovacie okná, ktoré sa zobrazujú používateľom pri otváraní PDF súborov vo Foxit Reader. Tieto okná obsahujú rôzne výzvy na potvrdenie povolení, ktorým, ak dá používateľ zelenú, tak môžu byť zneužité útočníkom na vykonanie útoku. Tento mechanizmus im umožňuje spustiť ľubovoľné príkazy na počítači obete.
„K zneužívaniu obetí dochádza prostredníctvom chybného dizajnu v aplikácii Foxit Reader, ktorá zobrazuje ako predvolenú možnosť „OK“, čo by mohlo viesť k tomu, že väčšina cieľov bude tieto správy ignorovať a spustí škodlivý kód. Škodlivý príkaz sa vykoná, keď obeť dvakrát „súhlasí“ s predvolenými možnosťami.“, hovoria výskumníci.
Experti na bezpečnosť opisujú tento útok tak, že pri prvom otvorení súboru vyskočí na používateľa okno s predvolenou možnosťou „Dôverovať raz“, ide o legitímne správanie aplikácie. Následne po tom, ako používateľ klikne na možnosť „OK“, tak obeti sa zobrazí druhé okno s možnosťou „Otvoriť“, ktoré je predvolene vyznačené.
Neprehliadnite
Hneď ako používateľ odsúhlasí druhé okno, tak dôjde dôjde k infikovaniu zariadenia. Útočníci sa v tomto prípade spoliehajú na to, že okno s druhým upozornením používatelia automaticky odsúhlasia bez toho, aby si prečítali, čo v ňom je napísané, čo je aj bežné správanie ľudí. Rovnako treba uviesť, že mnoho bežných používateľov, bohužiaľ, nerozumie tomu, čo je v danom okne. Ide totiž o technické veci, ktoré sú známe skôr tým viac technicky zručnejším používateľom. Ako takéto okno vyzerá, sa môžete pozrieť na snímke nižšie.
Následne, ako používateľ potvrdí vyššie spomínané okno, tak dôjde k načítaniu PDF dokumentu s makrami, ktoré spúšťajú príkazy a skripty, ktoré sťahujú a spúšťajú malvér ako je napríklad agent Tesla, Remcon a ďalšie. Inými slovami, do zariadenia sa dostane vírus, ktorý narobí jeho používateľovi vrásky na čele. Pre tých, ktorí nevedia, tak napríklad agent Tesla je spyware, ktorý kradne citlivé údaje zo zariadenia. Ako hovoria výskumníci, tak sa im medzičasom podarilo identifikovať viacero zneužitý tejto chyby.
„Toto zneužitie využilo viacero aktérov hrozieb, od e-zločinu až po špionáž.“, hovoria výskumníci.
Jedným z dôvodov, prečo sú tieto útoky obzvlášť nebezpečné, je fakt, že škodlivé PDF súbory často obchádzajú detekciu antivírusových programov.
Foxit Software, vývojár Foxit PDF Reader, bol o tejto zraniteľnosti informovaný a spolupracuje s bezpečnostnými odborníkmi na jej odstránení. Nezabudnite preto, keď bude dostupná aktualizácia, aby ste si ju čo najskôr stiahli a nainštalovali. Problém podľa tvrdení vývojára bude vyriešený vo verzii 2024 3.
Komentáre