El malware multifuncional Byakugan se está propagando a través de instaladores fraudulentos de Adobe Acrobat Reader. El ataque se inicia con un archivo PDF en portugués que solicita al usuario que descargue la aplicación Reader para ver el contenido. Si se hace clic en el enlace, se descarga un instalador malicioso que activa la secuencia de infección. La cadena de ataque utiliza técnicas como DLL hijacking y bypass de Control de Acceso de Usuario de Windows (UAC) para cargar librerías maliciosas que realizan diversas funciones.
El malware Byakugan empaqueta su archivo ejecutable en node.js y utiliza varias librerías para realizar funciones tales como captura de pantallas, descarga de mineros de criptomonedas y registro de pulsaciones de teclas. Además, se comunica con un servidor de comando y control para la exfiltración de datos del sistema. El uso de componentes limpios y maliciosos en el malware dificulta la detección precisa.
ASEC, el Centro de Inteligencia de Seguridad, ha revelado los detalles de una nueva campaña que utiliza el «stealer» de información Rhadamanthys como instalador de software de colaboración. El malware utiliza la técnica de syscall indirecto para ocultarse de las soluciones de seguridad.
Estas campañas maliciosas han sido descubiertas después de que se informara que una versión manipulada de Notepad++ estaba siendo utilizada para propagar el malware WikiLoader. Es importante estar alerta y tomar las precauciones adecuadas para evitar ser víctima de estas amenazas. Procure mantener su software actualizado y no descargar o hacer clic en enlaces sospechosos. Manténgase seguro en línea y proteja su información personal.
Vía The Hacker News
