Byakugan, il malware dietro un attacco di phishing

I ricercatori di FortiGuard hanno rilevato file PDF veicolati tramite una campagna di phishing mirato e che distribuivano un malware multifunzione noto come Byakugan.

Il vettore di infezione

Il PDF presentava una tabella sfocata, e invitava la vittima a cliccare su di un link per visualizzare il contenuto.

Fonte FortiGuard

In realtà questo link prelevava un downloader, che a sua volta scaricava una DLL che tramite una tecnica di DLL-hijacking rilasciava il modulo principale di Byakugan rinominato come chrome.exe, scaricandolo dal suo server C2 (thinkforce[.]com[.]br che fungeva anche da pannello di controllo per gli attaccanti).

Fonte FortiGuard

Le numerose funzionalità del malware

Byakugan basato sul runtime system open source node.js si distingue per le sue numerose funzionalità implementate in diverse librerie js:

  • Monitoraggio e cattura dello schermo: Utilizza OBS Studio per monitorare il desktop della vittima e prende screenshot utilizzando le API di Windows.
  • Miner: L’attaccante può decidere se continuare o meno il mining in base all’uso del sistema da parte della vittima. Può scegliere tra il mining con CPU o GPU per evitare il sovraccarico del sistema e scaricare una varietà di miner come Xmrig, t-rex e NBMiner.
  • Keylogger e esfiltrazione dei dati: Registra ogni battitura, permettendo il furto di password e dati sensibili.
  • Evasione e persistenza: Byakugan aggiunge delle esclusioni in Windows Defender e modifica le regole firewall per prevenire il rilevamento. Rilascia anche un file di configurazione per la pianificazione del riavvio automatico.

Raccomandazioni

Al momento della stesura di questo articolo il tasso di rilevamento dei campioni PDF rilevati si attesta a circa il 50%.

Per rimanere protetti dagli attacchi di phishing e malspam, si raccomanda di non fornire mai dati personali e sensibili e di verificare sempre la legittimità dei mittenti e-mail. Si consiglia inoltre di utilizzare password complesse, l’autenticazione 2FA dove possibile e strumenti di sicurezza aggiornati.

Su Salvatore Lombardo 359 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.