Ψεύτικες εγκαταστάσεις του Adobe Acrobat Reader, εξαπλώνουν νέο κακόβουλο λογισμικό (malware) με την ονομασία Byakugan.
Το σημείο εκκίνησης της επίθεσης είναι ένα αρχείο PDF γραμμένο στα πορτογαλικά, το οποίο, όταν ανοίγει, δείχνει μια θολή εικόνα και ζητά από το θύμα να κάνει κλικ σε έναν σύνδεσμο για να κατεβάσει την εφαρμογή Reader για να δει το περιεχόμενο.
Διαβάστε περισσότερα: Adobe: Προσθέτει βοηθό AI σε Acrobat και Reader
Σύμφωνα με το Fortinet FortiGuard Labs, η κλικ σε μια διεύθυνση URL οδηγεί στη μεταφορά ενός προγράμματος εγκατάστασης (“Reader_Install_Setup.exe”) που ενεργοποιεί την ακολουθία μόλυνσης. Λεπτομέρειες της εκστρατείας αποκαλύφθηκαν για πρώτη φορά από το AhnLab Security Intelligence Center (ASEC) τον περασμένο μήνα.
Η αλυσίδα επίθεσης χρησιμοποιεί διάφορες τεχνικές, όπως την πειρατεία DLL και την παράκαμψη του ελέγχου πρόσβασης χρήστη (UAC) στα Windows, για να φορτώσει ένα κακόβουλο αρχείο βιβλιοθήκης δυναμικής σύνδεσης (DLL) με το όνομα “BluetoothDiagnosticUtil.dll”. Αυτό το αρχείο απελευθερώνει ένα κακόβουλο πρόγραμμα κατά τη φόρτωσή του. Επιπλέον, δημιουργεί ένα νόμιμο πρόγραμμα εγκατάστασης για ένα πρόγραμμα ανάγνωσης PDF, όπως το Wondershare PDFelement.
Το δυαδικό αρχείο είναι σχεδιασμένο για να συλλέγει και να διανέμει metadata συστήματος σε έναν διακομιστή εντολών και ελέγχου (C2), και να αποθέτει την κύρια μονάδα (“chrome.exe”) σε έναν διαφορετικό διακομιστή που επίσης λειτουργεί ως C2 για τη λήψη αρχείων και εντολών.
“Το Byakugan είναι ένα κακόβουλο λογισμικό που βασίζεται στο node.js και είναι συσκευασμένο στο εκτελέσιμο αρχείο του από το pkg”, δήλωσε ο ερευνητής ασφαλείας Pei Han Liao. “Εκτός από το κύριο σενάριο, υπάρχουν αρκετές βιβλιοθήκες που αντιστοιχούν σε χαρακτηριστικά.”
Δείτε ακόμα: ANY.RUN Sandbox: Επιτρέπει σε ομάδες SOC και DFIR να αναλύουν προηγμένο κακόβουλο λογισμικό Linux
Αυτό περιλαμβάνει την παρακολούθηση της επιφάνειας εργασίας του θύματος χρησιμοποιώντας το OBS Studio, τη λήψη στιγμιότυπων οθόνης, τη λήψη εξόρυξης κρυπτονομισμάτων, την καταγραφή πληκτρολόγησης, την απαρίθμηση και τη μεταφόρτωση αρχείων και τη συλλογή δεδομένων που είναι αποθηκευμένα σε προγράμματα περιήγησης ιστού.
«Η χρήση τόσο καθαρών όσο και κακόβουλων στοιχείων σε κακόβουλο λογισμικό εμφανίζει ανησυχητική αύξηση, με το Byakugan να μην αποτελεί εξαίρεση», δήλωσε η Fortinet. «Αυτή η προσέγγιση αυξάνει την ποσότητα του θορύβου που δημιουργείται κατά την ανάλυση, καθιστώντας τις ακριβείς ανιχνεύσεις πιο δύσκολες».
Η ASEC ανακοίνωσε μια νέα καμπάνια που αποκαλύπτει αυτόν που αποσπά πληροφορίες Rhadamanthys μέσω ενός προσχεδιασμένου προγράμματος εγκατάστασης για groupware.
“Ο παράγοντας της απειλής δημιούργησε έναν ψεύτικο ιστότοπο που μοιάζει με τον πρωτότυπο, εκθέτοντας τον στους χρήστες μέσω διαφημίσεων στις μηχανές αναζήτησης”, ανακοίνωσε η νοτιοκορεατική εταιρεία κυβερνοασφάλειας. “Το κακόβουλο λογισμικό που διανέμεται χρησιμοποιεί την έμμεση τεχνική syscall για να παραμείνει αόρατο από τα αμυντικά συστήματα ασφαλείας.”
Δείτε επίσης: Χάκερς διακινούν κακόβουλο λογισμικό USB μέσω ιστότοπων
Επιπλέον, αναδεικνύεται η ανακάλυψη ότι μη αναγνωρισμένοι παράγοντες απειλών χρησιμοποιούν μια τροποποιημένη έκδοση του Notepad++ για τη διασπορά του κακόβουλου λογισμικού WikiLoader (επίσης γνωστό ως WailingCrab).
Πηγή: thehackernews