Des PDF aux charges utiles : de faux installateurs d’Adobe Acrobat Reader distribuent le logiciel malveillant Byakugan
De faux installateurs pour Adobe Acrobat Reader sont utilisés pour distribuer un nouveau malware multifonctionnel baptisé Byakugan .
Le point de départ de l’attaque est un fichier PDF écrit en portugais qui, une fois ouvert, montre une image floue et demande à la victime de cliquer sur un lien pour télécharger l’application Reader et visualiser le contenu.
Selon Fortinet FortiGuard Labs, cliquer sur l’URL entraîne la livraison d’un programme d’installation (“Reader_Install_Setup.exe”) qui active la séquence d’infection. Les détails de la campagne ont été divulgués pour la première fois par l’AhnLab Security Intelligence Center (ASEC) le mois dernier.
La chaîne d’attaque exploite des techniques telles que le détournement de DLL et le contournement du contrôle d’accès utilisateur (UAC) de Windows pour charger un fichier de bibliothèque de liens dynamiques (DLL) malveillant nommé « BluetoothDiagnosticUtil.dll », qui, à son tour, libère la charge utile finale. Il déploie également un programme d’installation légitime pour un lecteur PDF comme Wondershare PDFelement.
Le binaire est équipé pour collecter et exfiltrer les métadonnées du système vers un serveur de commande et de contrôle (C2) et supprimer le module principal (« chrome.exe ») d’un autre serveur qui fait également office de C2 pour recevoir des fichiers et des commandes.
“Byakugan est un malware basé sur node.js intégré dans son exécutable par pkg”, a déclaré le chercheur en sécurité Pei Han Liao. “En plus du script principal, il existe plusieurs bibliothèques correspondant à des fonctionnalités.”
Cela inclut la configuration de la persistance, la surveillance du bureau de la victime à l’aide d’OBS Studio, la capture de captures d’écran, le téléchargement de mineurs de crypto-monnaie, l’enregistrement des frappes au clavier, l’énumération et le téléchargement de fichiers et la récupération des données stockées dans les navigateurs Web.
“Il existe une tendance croissante à utiliser des composants à la fois propres et malveillants dans les logiciels malveillants, et Byakugan ne fait pas exception”, a déclaré Fortinet. “Cette approche augmente la quantité de bruit généré lors de l’analyse, ce qui rend les détections précises plus difficiles.”
Cette divulgation intervient alors que l’ASEC a révélé une nouvelle campagne qui propage le voleur d’informations Rhadamanthys sous le couvert d’un installateur de logiciel de groupe.
“L’auteur de la menace a créé un faux site Web ressemblant au site Web original et l’a exposé aux utilisateurs en utilisant la fonction publicitaire dans les moteurs de recherche”, a déclaré la société sud-coréenne de cybersécurité . “Les logiciels malveillants distribués utilisent la technique des appels système indirects pour se cacher des yeux des solutions de sécurité.”
Cela fait également suite à la découverte selon laquelle une version manipulée de Notepad++ est utilisée par des acteurs malveillants non identifiés pour propager le malware WikiLoader (alias WailingCrab).