目前，PDF 已然成为了数字通信中不可或缺的一部分，在 PDF 阅读器领域，Adobe Acrobat Reader 占据了最大的市场份额，但近些年后起之秀 Foxit PDF Reader 的市场占有率开始突飞猛进，在 200 多个国家拥有超过 7 亿用户。

然而，Check Point Research 近日发现了一种针对 Foxit Reader 用户的 PDF 安全漏洞利用的异常操作模式，该安全漏洞会触发安全警告，诱使毫无戒心的用户执行”有害“命令。目前，该安全漏洞的变体在野外正被积极利用

Foxit PDF Reader 设计中存在安全缺陷

研究人员表示，安全漏洞是由 Foxit Reader 中警告消息中某个设计缺陷引发。据悉，警告消息中提供了一个”有害“的默认选项，一旦有粗心的用户使用默认选项，安全漏洞就会自动触发，从远程服务器下载并执行恶意有效负载。

触发恶意命令的默认选项

安全研究人员已经证实安全漏洞已经被多个威胁攻击者用于电子犯罪和间谍活动。其中，名为 APT-C-35 / DoNot Team 威胁组织发起的某一间谍组织最为”著名“。威胁攻击者通过部署特定恶意软件、获得受害者的数据信息。此外，威胁攻击者能够开展针对 Windows 和 Android 设备的混合攻击活动，从而绕过双因素身份验证 （2FA） 。

VenomRAT、Agent-Tesla、Remcos、NjRAT、NanoCore RAT、Pony、Xworm、AsyncRAT、DCRat 等在内的各种网络犯罪攻击者都在利用该安全漏洞，以分发、部署恶意软件。Check Point Research 跟踪了一起可能是通过 Facebook 分发恶意软件的活动，发现了一条攻击链。

攻击链

在另一场攻击活动中，Check Point Research 确认了威胁攻击者为@silentkillertv，主要利用两个链接的PDF 文件执行活动，其中一个文件托管在合法网站 trello.com 上。威胁攻击者还销售恶意工具，并于 4 月 27 日宣传了这一漏洞。

研究过程中，Check Point 获得了多个攻击者拥有的构建器，这些构建器利用此漏洞创建恶意 PDF 文件，大多数收集的 PDF 正在执行 PowerShell 命令，该命令从远程服务器下载有效负载，然后立刻执行。

PDF 命令执行分析。

最后，安全人员指出，随着社会工程策略的日益复杂，用户必须时刻保持警惕，随时了解自身网络安全状况，谨慎行事，并实施包括多因素身份验证和安全意识培训等在内的安全措施，以最大程度上降低成为此类攻击受害者的风险。

参考文章：

https://blog.checkpoint.com/research/foxit-pdf-reader-flawed-design-hidden-dangers-lurking-in-common-tools/