From PDFs to Payload: Bogus Adobe Acrobat Reader Installers Distribute Byakugan Malware
2024/04/05 TheHackerNews —Adobe Acrobat Reader 用を装う偽インストーラーが、Byakuganという新たな多機能マルウェアの配布に使用されている。この攻撃の起点となるのは、ポルトガル語で書かれた PDF ファイルであり、それを開くと不鮮明な画像が表示され、コンテンツを閲覧するためには必要だと欺き、Reader アプリケーションをダウンロードするためのリンクを、クリックするよう被害者に要求するという。
Fortinet FortiGuard Labs によると、ダウンロードのための URLをクリックすると、感染シーケンスを起動するインストーラ “Reader_Install_Setup.exe” が配信される。このキャンペーンの詳細は、先月に AhnLab Security Intelligence Center (ASEC) により初めて公開された。
この攻撃チェーンは、DLL ハイジャックや Windows User Access Control (UAC) バイパスといったテクニックを活用し、”BluetoothDiagnosticUtil.dll” という悪意のDLL ファイルをロードするものだ。また、”Wondershare PDFelement” のような、PDF リーダー用の正規インストーラーも展開する。
このバイナリは、システムのメタデータを収集し、Command and Control (C2) サーバへ向けて流出させる一方で、ファイルやコマンドを受信する C2 として機能する別のサーバから、メインモジュール “chrome.exe” をドロップするための機能を備えている。
Fortinet のセキュリティ研究者である Pei Han Liao は、「Byakugan は、node.js ベースのマルウェアであり、pkg を介して実行ファイルにパックされている。メインのスクリプトに加えて、それぞれの機能に対応する、いくつかのライブラリを備えている」と述べている。
それらの機能として挙げられるのは、パーシステンスの設定/OBS Studio を使った被害者デスクトップの監視/スクリーンショットのキャプチャ/暗号通貨マイナーのダウンロード/キー入力のログ/ファイルの列挙とアップロード/Web ブラウザに保存されたデータの取得などである。
Fortinet は、「クリーンなコンポーネントと悪意のコンポーネントを組み合わせて、マルウェアを構成するという傾向が強まっており、Byakugan も例外ではない。このアプローチは、分析中に発生するノイズの量を増加させ、正確な検出をより困難にする」と指摘している。
先日には、グループウェアのインストーラを装うことで、Rhadamanthys 情報窃取プログラムを広める新たなキャンペーンを、ASEC は明らかにしていた。そして、公開の情報公開は、それに続くものである。
ASEC は、「この脅威アクターは、元の Web サイトに似せた、偽の Web サイトを作成し、検索エンジンの広告機能を介して、ユーザーをサイトに誘導していた。いま、配布されているマルウェアは、セキュリティ・ソリューションの目から隠れるために、間接的なシステムコールのテクニックを使用している」と述べている。
また、WikiLoader マルウェア (別名 WailingCrab) を増殖させるために、操作されたバージョンの Notepad++ が、正体不明の脅威アクターに悪用されていることも発見されている。
悪意の PFD ファイルが配信されており、それを開こうとすると Acrobat Reader のインストールが必要だと言われ、指示に従うとマルウェアが仕込まれた、偽のインストーラーをダウンロードしてしまうというシナリオです。こうして侵害が開始され、DLL ハイジャック攻撃などにいたるとのことです。でも、まぁ、生の DOC や PPT などを送受信するよりは、多少は安全なのでしょう。不用意なファイルのやり取りは、とても危険です。よろしければ、Phishing で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.