Byakugan:针对葡语国家的恶意软件

阅读量55093

发布时间 : 2024-04-07 10:54:07

网络安全专家警告称,葡萄牙语国家将遭受新一波攻击,利用假冒 Adob​​e Reader 安装程序传播名为 Byakugan 的多功能恶意软件。

攻击从PDF文件开始,该文件打开后会显示模糊的图像,并提示受害者下载第三方应用程序以查看其内容。

虚假通知(葡萄牙语翻译)

Fortinet 的研究人员称,点击铭文会下载一个安装程序,启动感染过程。 网络情报中心ASEC上个月 首次发布了有关此活动的信息 。

该攻击技术涉及使用DLL 劫持和 Windows 用户帐户控制 ( UAC ) 绕过 等技术来下载恶意 DLL 文件,从而激活底层恶意代码。该过程还涉及 Wondershare PDFelement PDF 阅读器的合法安装程序。

该二进制文件能够收集系统元数据并将其传输到管理服务器,并加载主模块“chrome.exe”,该模块还充当管理服务器来接收文件和命令。

完整的攻击方案

Byakugan 基于Node.js,包含多个负责各种功能的库:在系统中建立持久性、使用 OBS Studio 监控用户桌面、捕获屏幕截图、加载加密货币矿工、记录击键、库存和文件下载以及存储数据的盗窃在网络浏览器中。

在分析恶意软件的连接时,研究人员能够启动 Byakugan Web 控制面板,该面板会通过授权屏幕迎接不速之客。在打开的选项卡的一角,您可以看到一个白眼忍者的图标,这明显参考了火影忍者动漫。实际上,就像恶意软件本身的名称一样。

恶意软件授权面板

Fortinet 发现勒索软件中使用完全合法组件的趋势不断增长,这使得分析和检测威胁变得更加困难。

今天 我们写了一篇关于假冒安装程序的类似威胁 : 美国石油和天然气公司部门面临网络钓鱼攻击,其中包含据称涉及受害者或她的汽车的事故通知。在可下载的 PDF 文件中,黑客同样使用背景模糊和模拟 Adob​​e Reader 的虚假通知来诱骗用户单击链接并安装 Rhadamanthys 恶意软件,该恶意软件会从受感染的系统收集数据。

本文转载自:

如若转载,请注明出处: https://www.securitylab.ru/news/547307.php

安全客 - 有思想的安全新媒体

分享到:微信
+13赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66