Instaladores falsos do Adobe Acrobat Reader distribuem malware Byakugan
![code](https://i1.wp.com/blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgUYKWHOcYSMYdLsSS2dodo4WH7ULk0EKXN4b3SrD0vczh2XphyphenhyphenyAVHO9GiIp9q6aiuuC4L5iCE7wwrPBHNE89xmOzaeTC3p6mKB-cvSKqQ22MLHTqcOG4QBKqhbQsa7i2uxrTn1Tau-LaV7s00GLLyUihHlCz0PkbhrCh_J8virrvKTZ6CijRFVeAGFVE-/s728-rw-e365/code.png?w=780&resize=780,470&ssl=1)
![Malware Byakugan Adobe Acrobat Reader distribui malware?](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgUYKWHOcYSMYdLsSS2dodo4WH7ULk0EKXN4b3SrD0vczh2XphyphenhyphenyAVHO9GiIp9q6aiuuC4L5iCE7wwrPBHNE89xmOzaeTC3p6mKB-cvSKqQ22MLHTqcOG4QBKqhbQsa7i2uxrTn1Tau-LaV7s00GLLyUihHlCz0PkbhrCh_J8virrvKTZ6CijRFVeAGFVE-/s728-rw-e365/code.png)
Adobe Acrobat Reader distribui malware?
Instaladores falsos do Adobe Acrobat Reader estão sendo usados para distribuir um novo malware multifuncional denominado Byakugan.
O ponto de partida do ataque é um arquivo PDF escrito em português que, ao ser aberto, mostra uma imagem borrada e pede à vítima que clique em um hyperlink para baixar o aplicativo Reader para visualizar o conteúdo.
De acordo com o Fortinet FortiGuard Labs, clicar no URL leva à entrega de um instalador (“Reader_Install_Setup.exe”) que ativa a sequência de infecção. Os detalhes da campanha foram divulgados pela primeira vez pelo AhnLab Safety Intelligence Middle (ASEC) no mês passado.
A cadeia de ataque aproveita técnicas como sequestro de DLL e desvio do Controle de Acesso do Usuário (UAC) do Home windows para carregar um arquivo malicioso de biblioteca de vínculo dinâmico (DLL) chamado “BluetoothDiagnosticUtil.dll”, que, por sua vez, carrega e libera a carga last. Ele também implanta um instalador legítimo para um leitor de PDF como o Wondershare PDFelement.
O binário está equipado para coletar e exfiltrar metadados do sistema para um servidor de comando e controle (C2) e descartar o módulo principal (“chrome.exe”) de um servidor diferente que também atua como seu C2 para receber arquivos e comandos.
“Byakugan é um malware baseado em node.js compactado em seu executável por pkg”, disse o pesquisador de segurança Pei Han Liao. “Além do script principal, existem diversas bibliotecas correspondentes aos recursos.”
![Cíber segurança](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiLX0O_pua_BNGD7OG05Td7ASGHjT-c6rLVfmEazcitNrUN4aS12_9AAEWdojbHmrg0EkMQCSyD42w-d6egVdsdVtAEaH-Z0w0f-jU1frNCfaTUp5tY4bg1olzAEY_W1iVATonnvuYqpel_Mxe4TJmkCMSqLOo4ol9NEGBRh_a8C0JhApfKqY8f-wf9m978/s728-e365/wing-d.png)
Isso inclui configurar persistência, monitorar a área de trabalho da vítima usando o OBS Studio, capturar capturas de tela, baixar mineradores de criptomoedas, registrar pressionamentos de tecla, enumerar e fazer add de arquivos e obter dados armazenados em navegadores da net.
“Há uma tendência crescente de usar componentes limpos e maliciosos em malware, e o Byakugan não é exceção”, disse Fortinet. “Essa abordagem aumenta a quantidade de ruído gerado durante a análise, dificultando detecções precisas.”
A divulgação ocorre no momento em que a ASEC revela uma nova campanha que propaga o ladrão de informações Rhadamanthys sob o disfarce de um instalador de groupware.
“O agente da ameaça criou um web site falso para se parecer com o web site unique e expôs o web site aos usuários usando o recurso de anúncio nos motores de busca”, disse a empresa sul-coreana de segurança cibernética. “O malware em distribuição usa a técnica indireta de syscall para se esconder dos olhos das soluções de segurança.”
Também segue a descoberta de que uma versão manipulada do Notepad++ está sendo empregada por agentes de ameaças não identificados para propagar o malware WikiLoader (também conhecido como WailingCrab).