各种威胁行为者发动了针对 Foxit PDF 阅读器设计漏洞的攻击,旨在传递多种恶意载荷,包括 Agent Tesla、Remcos RAT、AsyncRAT 和 XWorm 等,详细内容见 The Hacker News。
一家安全公司 Check Point 的报告揭示,疑似与印度国家赞助的威胁组织 DoNot Team亦称 Origami Elephant 和 APTC35有关的入侵,涉及利用军事主题的 PDF 文档进行恶意程序的分发。当用户通过 Foxit 打开此类文档时,将促使下载一对可执行文件及其他恶意载荷的下载器。这种技术被用于传递 XMRig 和 lolMiner 加密货币挖矿模块,以及用于浏览器凭证和 Cookies 窃取的 Python 基于工具。
此外,自称为道德黑客的 silentkillertv 还利用一份带有链接指向 trello[]com 的恶意 PDF 文档,以部署 Remcos RAT。
Check Point 的研究员 Antonis Terefos 表示:“病毒感染的成功率和低检测率使得 PDF 文件能够通过许多非常规方式如 Facebook进行分发,且不会被任何检测规则阻止。”
