Các trình cài đặt giả mạo của Adobe Acrobat Reader phân phối phần mềm độc hại Byakugan như thế nào

Theo Fortinet FortiGuard Labs, việc nhấp vào URL sẽ dẫn đến việc cung cấp một trình cài đặt ("Reader_Install_Setup.exe") kích hoạt chuỗi lây nhiễm. Chi tiết về chiến dịch đã được tiết lộ lần đầu bởi Trung tâm Tình báo Bảo mật AhnLab (ASEC) vào tháng trước.

Chuỗi tấn công sử dụng các kỹ thuật như DLL hijacking và bypass Kiểm soát Truy cập Người dùng Windows (UAC) để tải một tệp thư viện liên kết động (DLL) độc hại có tên là "BluetoothDiagnosticUtil.dll," và sau đó kích hoạt tải payload cuối cùng. Nó cũng triển khai một trình cài đặt hợp pháp cho một trình đọc PDF như Wondershare PDFelement.

Tệp nhị phân được trang bị để thu thập và trích xuất siêu dữ liệu hệ thống đến một máy chủ điều khiển và điều khiển (C2) và thả module chính ("chrome.exe") từ một máy chủ khác cũng hoạt động như C2 để nhận tệp và lệnh.

"Byakugan là một phần mềm độc hại dựa trên node.js được đóng gói vào tệp thực thi của nó bởi pkg," nhà nghiên cứu bảo mật Pei Han Liao nói. "Ngoài kịch bản chính, còn có một số thư viện tương ứng với các tính năng."

New Phishing Scam Drops Byakugan Malware via Fake PDF

Điều này bao gồm thiết lập theo dõi màn hình desktop của nạn nhân bằng OBS Studio, chụp ảnh màn hình, tải về trình đào tiền điện tử, ghi log các phím được nhấn, liệt kê và tải lên các tệp, và thu thập dữ liệu được lưu trữ trong trình duyệt web.

"Có một xu hướng ngày càng tăng để sử dụng cả các thành phần sạch và độc hại trong phần mềm độc hại và Byakugan không phải là một ngoại lệ," Fortinet nói. "Cách tiếp cận này làm tăng lượng tạp âm được tạo ra trong quá trình phân tích, làm cho việc phát hiện chính xác trở nên khó khăn hơn."

Việc tiết lộ này đến khi ASEC tiết lộ một chiến dịch mới lan truyền phần mềm ăn cắp thông tin Rhadamanthys dưới vỏ bọc của một trình cài đặt cho phần mềm nhóm.

"Hành động đe dọa đã tạo ra một trang web giả mạo để giống với trang web gốc và tiếp xúc với người dùng bằng tính năng quảng cáo trong các công cụ tìm kiếm," công ty an ninh mạng Hàn Quốc nói. "Phần mềm độc hại trong quá trình phân phối sử dụng kỹ thuật syscall gián tiếp để ẩn khỏi tầm mắt của các giải pháp bảo mật."

Điều này cũng đến sau khi phát hiện ra rằng một phiên bản được điều chỉnh của Notepad++ được các hành động đe dọa chưa xác định sử dụng để lan truyền phần mềm độc hại WikiLoader (còn được gọi là WailingCrab).

Cài đặt và chạy ứng dụng đầu tiên với Yii2 Framework (P1)

Tích hợp Zoom Meeting trong Laravel

Migrations trong Yii2 Framework (P11)

Tìm hiểu về chế độ bảo trì website trong Laravel Framework

Gửi mail trong Yii2 Framework (P13)

To TOP 5 thư viện Gantt Chart nâng cao tốt nhất cho JavaScript

To Lỗ hổng PHP mới làm lộ máy chủ Windows đến việc thực thi mã từ xa

To 5 cách ChatGPT có thể giúp doanh nghiệp của bạn

To Giám sát truy vấn cơ sở dữ liệu nâng cao trong Laravel

To Top 10 PHP Testing Frameworks trong năm 2024

Lỗ hổng PHP mới làm lộ máy chủ Windows đến việc thực thi mã từ xa

Thiết bị gian lận thẻ tín dụng tinh vi giả mạo thành ứng dụng theo dõi Facebook vô hại

Nhóm hacker đã lấy cắp dữ liệu tài chính trên khắp châu Á thông qua phần mềm độc hại.

Subscribe To Our Weekly Newsletter