Byakugan：针对葡语国家的恶意软件

攻击从PDF文件开始，该文件打开后会显示模糊的图像，并提示受害者下载第三方应用程序以查看其内容。

虚假通知（葡萄牙语翻译）

据Fortinet 的研究人员称，点击铭文会下载一个安装程序，启动感染过程。 网络情报中心ASEC上个月 首次发布了有关此活动的信息 。

该攻击技术涉及使用DLL 劫持和 Windows 用户帐户控制 ( UAC ) 绕过 等技术来下载恶意 DLL 文件，从而激活底层恶意代码。该过程还涉及 Wondershare PDFelement PDF 阅读器的合法安装程序。

该二进制文件能够收集系统元数据并将其传输到管理服务器，并加载主模块“chrome.exe”，该模块还充当管理服务器来接收文件和命令。

完整的攻击方案

Byakugan 基于Node.js，包含多个负责各种功能的库：在系统中建立持久性、使用 OBS Studio 监控用户桌面、捕获屏幕截图、加载加密货币矿工、记录击键、库存和文件下载以及存储数据的盗窃在网络浏览器中。

在分析恶意软件的连接时，研究人员能够启动 Byakugan Web 控制面板，该面板会通过授权屏幕迎接不速之客。在打开的选项卡的一角，您可以看到一个白眼忍者的图标，这明显参考了火影忍者动漫。实际上，就像恶意软件本身的名称一样。

恶意软件授权面板

Fortinet 发现勒索软件中使用完全合法组件的趋势不断增长，这使得分析和检测威胁变得更加困难。

今天 我们写了一篇关于假冒安装程序的类似威胁 ： 美国石油和天然气公司部门面临网络钓鱼攻击，其中包含据称涉及受害者或她的汽车的事故通知。在可下载的 PDF 文件中，黑客同样使用背景模糊和模拟 Adob​​e Reader 的虚假通知来诱骗用户单击链接并安装 Rhadamanthys 恶意软件，该恶意软件会从受感染的系统收集数据。