Ha surgido una sofisticada campaña de malware dirigida a usuarios que buscan un software gratuito de edición de PDF, con cibercriminales que distribuyen una aplicación maliciosa disfrazada de la legítima “editor de PDF de AppSuite”.
El malware, empaquetado como un archivo de Microsoft Installer (MSI), se ha distribuido a través de sitios web de alto rango diseñados para aparecer como portales de descarga legítimos para herramientas de productividad.
Estos sitios engañosos comparten similitudes sorprendentes con las redes de distribución troyana previamente identificadas, incluida la notoria campaña JustAskjacky.
Los actores de amenaza detrás de esta campaña han demostrado audacia sin precedentes al presentar su malware a las empresas antivirus como falsos positivos, intentando eliminar detecciones de seguridad.
Inicialmente marcado como un programa potencialmente no deseado, la aplicación parecía ofrecer una funcionalidad legítima de edición de PDF mientras ocultaba su verdadera naturaleza maliciosa.
El instalador, creado utilizando el conjunto de herramientas WIX de código abierto, descarga inmediatamente el programa real del editor PDF de Vault.appSuites.ai tras la ejecución y la aceptación del Acuerdo de licencia del usuario final.
G Investigadores de datos identificado El malware como un caballo clásico de troyano que contiene un sofisticado componente de puerta trasera.
Su análisis reveló que la aplicación se basa en el marco de electrones, lo que le permite funcionar como una aplicación de escritorio multiplataforma utilizando JavaScript.
Los investigadores señalaron que el malware ha generado una actividad de descarga significativa, con más de 28,000 intentos de descarga registrados en su telemetría en una sola semana, destacando el extenso alcance de la campaña y el impacto potencial en los usuarios de todo el mundo.
El malware opera a través de un complejo sistema de conmutadores de línea de comandos que controlan varias funcionalidades de puerta trasera.
Cuando se ejecuta sin parámetros específicos, la aplicación inicia una rutina de instalación que registra el sistema infectado con servidores de comando y control ubicados en AppSuites.ai y SDK.AppSuites.ai.
El proceso de registro implica obtener una ID de instalación única y crear tareas persistentes programadas llamadas “PDFEDITORSCHEDULEDTASK” y “PDFEDITORUSCHEDULEDTASK” que aseguran que el malware permanezca activo en el sistema comprometido.
Mecanismos avanzados de persistencia y ejecución de comandos
El aspecto más preocupante del malware del editor PDF AppSuite se encuentra en sus sofisticadas capacidades de ejecución de comandos y mecanismos de persistencia.
El malware emplea múltiples interruptores de línea de comandos que se traducen en lo que los desarrolladores se refieren internamente como “rutinas WC”, incluidas las funciones –install, –ping, –ckeck, –reboot y –cleanup.
Cada rutina tiene un propósito específico para mantener el compromiso del sistema y facilitar el control remoto.
La característica más peligrosa del fondo es su capacidad para ejecutar comandos arbitrarios en sistemas infectados a través de plantillas de comandos suplicadas por el servidor.
El malware contacta a sdk.appsuites.ai/api/s3/options para recuperar plantillas de comando flexibles que los actores de amenaza pueden ajustar dinámicamente.
Esta arquitectura permite a los atacantes adaptar su enfoque en función del entorno específico y la postura de seguridad de cada sistema comprometido.
// Mecanismo de ejecución de la plantilla de comando hxxps: //sdk.appsuites (dot) ai/api/s3/options
La estrategia de persistencia implica crear múltiples tareas programadas con retrasos de ejecución cuidadosamente calculados.
La tarea programada principal ejecuta 1 día, 0 horas y 2 minutos después de la instalación, específicamente diseñada para evadir los sistemas de detección automáticos de sandbox que generalmente no supervisan tales períodos prolongados.
El editor PDF se anuncia en varios sitios web con diferentes diseños (fuente – G Data)
Además, el malware se dirige a los navegadores populares que incluyen Wave, Shift, OneLaunch, Chrome y Edge, extrayendo claves de cifrado y manipular las preferencias de los navegadores para mantener el acceso a largo plazo a los datos y credenciales del usuario.
Metadatos de archivo MSI que muestran orígenes de conjunto de herramientas WIX (fuente – G Datos)
El protocolo de comunicación del malware utiliza el cifrado AES-128-CBC y AES-256-CBC para la transmisión de datos seguros con servidores de comando y control, lo que hace que la detección basada en la red sea significativamente más desafiante para las soluciones de seguridad tradicionales.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
