
I ricercatori di FortiGuard hanno rilevato file PDF veicolati tramite una campagna di phishing mirato e che distribuivano un malware multifunzione noto come Byakugan.
Il vettore di infezione
Il PDF presentava una tabella sfocata, e invitava la vittima a cliccare su di un link per visualizzare il contenuto.

In realtà questo link prelevava un downloader, che a sua volta scaricava una DLL che tramite una tecnica di DLL-hijacking rilasciava il modulo principale di Byakugan rinominato come chrome.exe, scaricandolo dal suo server C2 (thinkforce[.]com[.]br che fungeva anche da pannello di controllo per gli attaccanti).

Le numerose funzionalità del malware
Byakugan basato sul runtime system open source node.js si distingue per le sue numerose funzionalità implementate in diverse librerie js:
- Monitoraggio e cattura dello schermo: Utilizza OBS Studio per monitorare il desktop della vittima e prende screenshot utilizzando le API di Windows.
- Miner: L’attaccante può decidere se continuare o meno il mining in base all’uso del sistema da parte della vittima. Può scegliere tra il mining con CPU o GPU per evitare il sovraccarico del sistema e scaricare una varietà di miner come Xmrig, t-rex e NBMiner.
- Keylogger e esfiltrazione dei dati: Registra ogni battitura, permettendo il furto di password e dati sensibili.
- Evasione e persistenza: Byakugan aggiunge delle esclusioni in Windows Defender e modifica le regole firewall per prevenire il rilevamento. Rilascia anche un file di configurazione per la pianificazione del riavvio automatico.
Raccomandazioni
Al momento della stesura di questo articolo il tasso di rilevamento dei campioni PDF rilevati si attesta a circa il 50%.

Per rimanere protetti dagli attacchi di phishing e malspam, si raccomanda di non fornire mai dati personali e sensibili e di verificare sempre la legittimità dei mittenti e-mail. Si consiglia inoltre di utilizzare password complesse, l’autenticazione 2FA dove possibile e strumenti di sicurezza aggiornati.