Instaladores Falsos do Adobe Acrobat Reader Distribuem Malware Byakugan
5 de Abril de 2024

Instaladores falsos do Adobe Acrobat Reader estão sendo utilizados para distribuir um novo malware multifuncional apelidado de Byakugan.

O ponto inicial do ataque é um arquivo PDF escrito em português que, ao ser aberto, mostra uma imagem desfocada e solicita que a vítima clique em um link para baixar o aplicativo Reader para visualizar o conteúdo.

De acordo com os Laboratórios Fortinet FortiGuard, clicar na URL resulta na entrega de um instalador ("Reader_Install_Setup.exe") que ativa a sequência de infecção.

Detalhes da campanha foram divulgados pela primeira vez pelo AhnLab Security Intelligence Center (ASEC) no mês passado.

A cadeia de ataque utiliza técnicas como hijacking de DLL e bypass do Controle de Acesso do Usuário do Windows (UAC) para carregar um arquivo de biblioteca de link dinâmico (DLL) malicioso chamado "BluetoothDiagnosticUtil.dll", que, por sua vez, desencadeia a payload final.

Também implanta um instalador legítimo para um leitor de PDF como o Wondershare PDFelement.

O binário é equipado para coletar e exfiltrar metadados do sistema para um servidor de comando e controle (C2) e baixar o módulo principal ("chrome.exe") de um servidor diferente que também atua como seu C2 para receber arquivos e comandos.

"Byakugan é um malware baseado em node.js embalado em seu executável pelo pkg", disse o pesquisador de segurança Pei Han Liao.

"Além do script principal, existem várias bibliotecas correspondentes a recursos."

Isso inclui configurar a persistência, monitorar a área de trabalho da vítima usando o OBS Studio, capturar capturas de tela, baixar mineradores de criptomoeda, registrar teclas digitadas, listar e fazer upload de arquivos e capturar dados armazenados nos navegadores da web.

"Há uma tendência crescente de usar componentes limpos e maliciosos em malwares, e Byakugan não é exceção", disse a Fortinet.

"Essa abordagem aumenta a quantidade de ruído gerado durante a análise, tornando as detecções precisas mais difíceis."

A divulgação ocorre enquanto o ASEC revelou uma nova campanha que propaga o ladrão de informações Rhadamanthys sob o disfarce de um instalador para groupware.

"O agente de ameaça criou um site falso para se assemelhar ao site original e expôs o site aos usuários usando o recurso de anúncio em motores de busca", disse a empresa sul-coreana de cibersegurança.

"O malware em distribuição usa a técnica de chamada de sistema indireta para se ocultar aos olhos de soluções de segurança."

Isso também segue uma descoberta de que uma versão manipulada do Notepad++ está sendo empregada por agentes de ameaças não identificados para propagar o malware WikiLoader (também conhecido como WailingCrab).

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...