Los investigadores de ciberseguridad han descubierto una nueva campaña de amenazas sofisticada que aprovecha una aplicación de editor PDF aparentemente legítimo para transformar dispositivos infectados en representantes residenciales.
El software malicioso, distribuido bajo la apariencia de herramientas de productividad, representa un enfoque en evolución de los actores de amenaza que están explotando cada vez más categorías de software de confianza para establecer el acceso persistente de la red y monetizar los sistemas comprometidos.
El ataque comienza con archivos con la firma de firma de código “GLINS SOFTWARE SDN. BHD”. que inicialmente parece prestar credibilidad a la carga útil maliciosa.
Sin embargo, debajo de esta chapa de legitimidad se encuentra una cadena de infección compleja que comienza con componentes de JavaScript diseñados para dejar caer y ejecutar el troyano primario, denominado “Manualfinder”.
Este enfoque de varias etapas demuestra la comprensión de los atacantes de los mecanismos modernos de detección de seguridad y sus esfuerzos para evadir los sistemas de detección tradicionales basados en la firma.
Arma de arma del editor PDF (fuente – x)
Analistas de Expersecurity identificado Esta amenaza emergente a través de su monitoreo de actividades de red sospechosas y patrones de comportamiento de archivos.
Los investigadores observaron que la estrategia de implementación inicial del malware se basa en gran medida en la aplicación del navegador OneStart, que ha sido marcado como un software consistentemente problemático.
Este navegador crea tareas programadas que ejecutan archivos JavaScript desde el directorio temporal del usuario, estableciendo un punto de apoyo para la implementación de malware posterior.
JS malicioso (Fuente – X)
El mecanismo de infección revela un proceso cuidadosamente orquestado en el que el componente JavaScript llega a dominios de comando y control, específicamente MKA3E8 (.) Com e infraestructura similar.
Estos dominios sirven como puntos de distribución para la aplicación ManualFinder, que mantiene el mismo certificado de firma de código fraudulento para mantener la apariencia de legitimidad en toda la cadena de infecciones.
Funcionalidad engañosa y operaciones proxy
Lo que hace que esta amenaza sea particularmente insidiosa es su diseño de doble propósito que combina funcionalidad genuina con un comportamiento malicioso.
Cuando se ejecuta en un entorno de sandbox controlado, ManualFinder en realidad realiza su función anunciada de ayudar a los usuarios a localizar manuales y documentación de productos.
Esta funcionalidad legítima sirve como una cortina de humo efectiva, lo que potencialmente permite que el malware omita los sistemas de análisis de comportamiento que de otro modo podrían marcar un código puramente malicioso.
Sin embargo, el verdadero propósito de la aplicación se hace evidente al analizar su comportamiento de red y modificaciones del sistema.
El troyano transforma los dispositivos infectados en nodos proxy residenciales, creando efectivamente una red distribuida de sistemas comprometidos que pueden ser monetizados por los actores de amenaza.
Esta funcionalidad proxy permite a los atacantes enrutar el tráfico a través de máquinas de víctimas, lo que puede facilitar varias actividades ilegales mientras oscurece la verdadera fuente de tráfico de redes maliciosas.
El mecanismo de persistencia del malware a través de la creación de tareas programada del navegador OneStart garantiza un funcionamiento continuo incluso después de reiniciar el sistema.
Este enfoque destaca el enfoque de los atacantes en mantener el acceso a largo plazo a los sistemas comprometidos en lugar de realizar actividades maliciosas inmediatas y obvias que podrían provocar sospechas o alertas de seguridad del usuario.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
