Instaladores falsos do Adobe Acrobat Reader estão sendo utilizados para distribuir um novo malware multifuncional apelidado de Byakugan.
O ponto inicial do ataque é um arquivo PDF escrito em português que, ao ser aberto, mostra uma imagem desfocada e solicita que a vítima clique em um link para baixar o aplicativo Reader para visualizar o conteúdo.
De acordo com os Laboratórios Fortinet FortiGuard, clicar na URL resulta na entrega de um instalador ("Reader_Install_Setup.exe") que ativa a sequência de infecção.
Detalhes da campanha foram divulgados pela primeira vez pelo AhnLab Security Intelligence Center (ASEC) no mês passado.
A cadeia de ataque utiliza técnicas como hijacking de DLL e bypass do Controle de Acesso do Usuário do Windows (UAC) para carregar um arquivo de biblioteca de link dinâmico (DLL) malicioso chamado "BluetoothDiagnosticUtil.dll", que, por sua vez, desencadeia a payload final.
Também implanta um instalador legítimo para um leitor de PDF como o Wondershare PDFelement.
O binário é equipado para coletar e exfiltrar metadados do sistema para um servidor de comando e controle (C2) e baixar o módulo principal ("chrome.exe") de um servidor diferente que também atua como seu C2 para receber arquivos e comandos.
"Byakugan é um malware baseado em node.js embalado em seu executável pelo pkg", disse o pesquisador de segurança Pei Han Liao.
"Além do script principal, existem várias bibliotecas correspondentes a recursos."
Isso inclui configurar a persistência, monitorar a área de trabalho da vítima usando o OBS Studio, capturar capturas de tela, baixar mineradores de criptomoeda, registrar teclas digitadas, listar e fazer upload de arquivos e capturar dados armazenados nos navegadores da web.
"Há uma tendência crescente de usar componentes limpos e maliciosos em malwares, e Byakugan não é exceção", disse a Fortinet.
"Essa abordagem aumenta a quantidade de ruído gerado durante a análise, tornando as detecções precisas mais difíceis."
A divulgação ocorre enquanto o ASEC revelou uma nova campanha que propaga o ladrão de informações Rhadamanthys sob o disfarce de um instalador para groupware.
"O agente de ameaça criou um site falso para se assemelhar ao site original e expôs o site aos usuários usando o recurso de anúncio em motores de busca", disse a empresa sul-coreana de cibersegurança.
"O malware em distribuição usa a técnica de chamada de sistema indireta para se ocultar aos olhos de soluções de segurança."
Isso também segue uma descoberta de que uma versão manipulada do Notepad++ está sendo empregada por agentes de ameaças não identificados para propagar o malware WikiLoader (também conhecido como WailingCrab).
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...