Adobe Acrobat Reader 的虚假安装程序正被用于分发一种称为 Byakugan 的新型多功能恶意软件。
攻击的起点是一个用葡萄牙语编写的 PDF 文件,打开后会显示一个模糊的图像,并要求受害者单击链接以下载 Reader 应用程序以查看内容。
根据 Fortinet FortiGuard Labs 的说法,单击 URL 会导致交付激活感染序列的安装程序 (“Reader_Install_Setup.exe”)。该活动的细节于上个月由AhnLab安全情报中心(ASEC)首次披露。
攻击链利用 DLL 劫持和 Windows 用户访问控制 (UAC) 绕过等技术来加载名为“BluetoothDiagnosticUtil.dll”的恶意动态链接库 (DLL) 文件,而加载后又会释放最终有效负载。它还为 PDF 阅读器(如 Wondershare PDFelement)部署了合法安装程序。
二进制文件可以收集系统元数据并将其泄露到命令和控制 (C2) 服务器,并从另一台服务器中删除主模块 (“chrome.exe”),该服务器也充当其 C2 用于接收文件和命令。
“Byakugan是一种基于node.js的恶意软件,由pkg打包到其可执行文件中,”安全研究员Pei Han Liao说。“除了主脚本之外,还有几个与功能相对应的库。”
这包括设置持久性、使用 OBS Studio 监控受害者的桌面、捕获屏幕截图、下载加密货币矿工、记录击键、枚举和上传文件以及抓取存储在 Web 浏览器中的数据。
“在恶意软件中使用干净和恶意组件的趋势越来越大,Byakugan也不例外,”Fortinet说。“这种方法增加了分析过程中产生的噪声量,使准确检测更加困难。
ASEC披露了一项新的活动,该活动以群件安装程序为幌子传播Rhadamanthys信息窃取程序。
这家韩国网络安全公司表示:“威胁行为者创建了一个类似于原始网站的虚假网站,并使用搜索引擎中的广告功能将该网站暴露给用户。“分发中的恶意软件使用间接系统调用技术来隐藏安全解决方案的眼睛。”
它还发现,不明威胁行为者正在使用纵的 Notepad++ 版本来传播 WikiLoader 恶意软件(又名 WailingCrab)。
来源:【黑客新闻网】
原文始发于微信公众号(船山信安):从 PDF 到有效负载:伪造的 Adobe Acrobat Reader 安装程序分发 Byakugan 恶意软件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论