Gefälschte Acrobat-Reader-Installer verbreiten Malware
Eine neue Malware namens Byakugan verbreitet sich über gefälschte Installationsprogramme für Adobe Acrobat Reader. Der Angriff beginnt mit einer PDF-Datei in portugiesischer Sprache. Wenn diese geöffnet wird, zeigt sie ein unscharfes Bild und fordert das Opfer auf, auf einen Link zu klicken, um die Reader-Anwendung herunterzuladen und den Inhalt anzuzeigen.
Laut Fortinet FortiGuard Labs wird durch einen Klick auf die URL das Installationsprogramm „Reader_Install_Setup.exe“ heruntergeladen und die Infektion gestartet. Einzelheiten zu diesem Angriff wurden erstmals letzten Monat vom AhnLab Security Intelligence Center (ASEC) veröffentlicht.
Die Angriffskette verwendet Techniken wie DLL-Hijacking und die Umgehung der Windows-Benutzerzugriffskontrolle (UAC), um eine bösartige DLL-Datei namens „BluetoothDiagnosticUtil.dll“ zu laden, die dann die endgültige schädliche Nutzlast aktiviert. Außerdem wird ein legitimes Installationsprogramm für einen PDF-Reader wie Wondershare PDFelement installiert.
Diese bösartige Datei sammelt System-Metadaten und sendet sie an einen Command-and-Control-Server (C2). Das Hauptmodul („chrome.exe“) wird von einem anderen Server heruntergeladen, der auch als C2 dient und Dateien sowie Befehle empfängt.
Ein Sicherheitsforscher von Fortinet beschreibt Byakugan als Malware, die auf node.js basiert und mit pkg in eine ausführbare Datei verpackt wurde. Neben dem Hauptskript enthält sie mehrere Bibliotheken, die verschiedenen Funktionen entsprechen.
Diese Funktionen umfassen das Einrichten von Persistenz, die Überwachung des Desktops des Opfers mit OBS Studio, das Erstellen von Screenshots, das Herunterladen von Kryptowährungs-Minern, das Protokollieren von Tastenanschlägen, das Auflisten und Hochladen von Dateien sowie das Abgreifen von Daten, die in Webbrowsern gespeichert sind.
Fortinet erklärt weiter: „Es gibt einen zunehmenden Trend, sowohl saubere als auch bösartige Komponenten in Malware einzubinden, und Byakugan ist hier keine Ausnahme. Dieser Ansatz führt zu mehr Rauschen während der Analyse, was die genaue Erkennung erschwert.“
Etwa zur gleichen Zeit hat ASEC hat eine neue Kampagne aufgedeckt, die den Rhadamanthys Information-Stealer unter dem Deckmantel eines Installationsprogramms für Groupware verbreitet.
Das südkoreanische Cybersicherheitsunternehmen erklärt, dass der Bedrohungsakteur eine gefälschte Website erstellt hat, die der Original-Website ähnelt. Diese gefälschte Website wurde über die Werbefunktionen in Suchmaschinen für die Benutzer zugänglich gemacht. Die Malware verwendet bei der Verbreitung die indirekte Syscall-Technik, um sich vor Sicherheitslösungen zu verstecken.
Die Entdeckung dieser Kampagne folgt auf die Erkenntnis, dass nicht identifizierte Bedrohungsakteure eine manipulierte Version von Notepad++ verwenden, um die WikiLoader-Malware (auch bekannt als WailingCrab) zu verbreiten.