Valse Adobe Acrobat Reader-installatieprogramma's verspreiden Byakugan-malware

Er worden valse installatieprogramma's voor Adobe Acrobat Reader gebruikt om een ​​nieuwe multifunctionele malware te verspreiden, genaamd Byakugan.

Het startpunt van de aanval is een in het Portugees geschreven pdf-bestand dat, wanneer het wordt geopend, een wazig beeld toont en het slachtoffer vraagt ​​op een link te klikken om de Reader-applicatie te downloaden om de inhoud te bekijken.

Volgens Fortinet FortiGuard Labs leidt het klikken op de URL tot de levering van een installatieprogramma (“Reader_Install_Setup.exe”) dat de infectiesequentie activeert. Details van de campagne werden vorige maand voor het eerst bekendgemaakt door het AhnLab Security Intelligence Center (ASEC).

De aanvalsketen maakt gebruik van technieken zoals het kapen van DLL's en het omzeilen van Windows User Access Control (UAC) om een ​​schadelijk DLL-bestand (dynamic-link bibliotheek) met de naam 'BluetoothDiagnosticUtil.dll' te laden, dat op zijn beurt de uiteindelijke lading ontketent. Het gebruikt ook een legitiem installatieprogramma voor een PDF-lezer zoals Wondershare PDFelement.

Het binaire bestand is uitgerust om systeemmetagegevens te verzamelen en te exfiltreren naar een command-and-control (C2)-server en de hoofdmodule (“chrome.exe”) van een andere server te verwijderen die ook fungeert als C2 voor het ontvangen van bestanden en opdrachten.

“Byakugan is een op node.js gebaseerde malware die per pkg in een uitvoerbaar bestand is verpakt”, aldus beveiligingsonderzoeker Pei Han Liao. “Naast het hoofdscript zijn er verschillende bibliotheken die overeenkomen met functies.”

Cyberbeveiliging

Dit omvat het instellen van persistentie, het monitoren van het bureaublad van het slachtoffer met OBS Studio, het maken van schermafbeeldingen, het downloaden van cryptocurrency-miners, het loggen van toetsaanslagen, het opsommen en uploaden van bestanden en het verzamelen van gegevens die zijn opgeslagen in webbrowsers.

“Er is een groeiende trend om zowel schone als kwaadaardige componenten in malware te gebruiken, en Byakugan is daarop geen uitzondering”, aldus Fortinet. “Deze aanpak verhoogt de hoeveelheid ruis die tijdens de analyse wordt gegenereerd, waardoor nauwkeurige detecties moeilijker worden.”

De onthulling komt op het moment dat ASEC een nieuwe campagne onthulde die de informatiediefstal Rhadamanthys propageert onder het mom van een installer voor groupware.

“De bedreigingsacteur creëerde een nepwebsite die op de originele website leek en stelde de site bloot aan gebruikers die de advertentiefunctie in zoekmachines gebruikten”, aldus het Zuid-Koreaanse cyberbeveiligingsbedrijf. “De malware in de distributie gebruikt de indirecte syscall-techniek om zich voor de ogen van beveiligingsoplossingen te verbergen.”

Het volgt ook op een ontdekking dat een gemanipuleerde versie van Notepad++ wordt gebruikt door niet-geïdentificeerde bedreigingsactoren om de WikiLoader-malware (ook bekend als WailingCrab) te verspreiden.

Thijs Van der Does