Da PDF a Payload: Falsi Installatori di Adobe Acrobat Reader Distribuiscono il Malware Byakugan
Negli ultimi tempi, una nuova minaccia informatica ha preso di mira gli utenti attraverso un inganno subdolo: falsi installatori di Adobe Acrobat Reader che nascondono al loro interno un pericoloso malware denominato Byakugan.
L’attacco ha inizio con un innocente file PDF scritto in portoghese che, una volta aperto, mostra un’immagine sfocata e invita la vittima a cliccare su un link per scaricare l’applicazione Reader e visualizzare il contenuto. Tuttavia, ciò che sembra essere un normale aggiornamento si rivela essere il punto di ingresso per il malware.
Secondo quanto riferito dai laboratori Fortinet FortiGuard, il clic sul link porta al download di un installer denominato “Reader_Install_Setup.exe”, che avvia la sequenza di infezione. Dettagli sulla campagna sono stati resi noti per la prima volta dall’AhnLab Security Intelligence Center (ASEC) il mese scorso.
La catena di attacco sfrutta tecniche come il DLL hijacking e il bypass del Windows User Access Control (UAC) per caricare un file DLL malevolo chiamato “BluetoothDiagnosticUtil.dll”, che a sua volta attiva il payload finale. Viene anche installato un installer legittimo per un lettore PDF come Wondershare PDFelement.
Il malware è in grado di raccogliere e inviare metadati di sistema a un server di command-and-control (C2) e di scaricare il modulo principale (“chrome.exe”) da un altro server che funge anche da C2 per ricevere file e comandi.
“Byakugan è un malware basato su node.js confezionato nel suo eseguibile da pkg”, ha dichiarato il ricercatore di sicurezza Pei Han Liao. “Oltre allo script principale, ci sono diverse librerie corrispondenti a funzionalità”.
Ciò include l’impostazione di persistenza, il monitoraggio del desktop della vittima utilizzando OBS Studio, la cattura di screenshot, il download di miner di criptovalute, la registrazione dei tasti premuti, l’enumerazione e l’upload di file e il recupero di dati memorizzati nei browser web.
“Esiste una tendenza crescente a utilizzare componenti puliti e maligni nei malware, e Byakugan non fa eccezione”, ha dichiarato Fortinet. “Questo approccio aumenta la quantità di rumore generato durante l’analisi, rendendo più difficile rilevare con precisione le minacce”.
La divulgazione arriva in seguito alla rivelazione da parte di ASEC di una nuova campagna che propaga lo stealer di informazioni Rhadamanthys sotto mentite spoglie di un installer per il groupware.
“Il gruppo di minaccia ha creato un sito web falso per somigliare al sito web originale ed esposto il sito agli utenti utilizzando la funzionalità di pubblicità nei motori di ricerca”, ha detto l’azienda di sicurezza informatica sudcoreana. “Il malware in distribuzione utilizza la tecnica syscall indiretta per nascondersi dagli occhi delle soluzioni di sicurezza”.
Segue anche la scoperta che una versione manipolata di Notepad++ viene utilizzata da attori minacciosi non identificati per propagare il malware WikiLoader (alias WailingCrab).
Questo ennesimo attacco sottolinea l’importanza di rimanere vigili e consapevoli delle minacce informatiche in costante evoluzione, nonché di adottare misure di sicurezza aggiuntive per proteggere i propri dispositivi e dati sensibili online.