Son haftalarda, güvenlik ekipleri, tamamen işlevsel bir PDF editörü gibi görünen şeyleri dağıtan kötü niyetli kampanyalarda bir artış gözlemledi.
Dublajlı Kurcalanmış şefbu kötü amaçlı yazılım, yasal bir uygulama – APPSUite PDF editörü – olarak, Avrupa organizasyonlarını ve bireyleri yükleyiciyi indirmeye cezbetmek için ikna eden reklamları kaldırıyor.
İnfaz edildikten sonra, yükleyici yaklaşık iki ay boyunca beklenen işlevsellikleri sergiler, bu sırada mağdurların gerçek doğasından habersiz kalır.
Kurulum sırasında kullanıcılar, ana akım yazılım teklifleriyle tutarlı bir profesyonel son kullanıcı lisans sözleşmesi diyaloguyla karşılaşırlar.
Birden çok dilde görüntülenen bu iletişim, meşruiyet yanılsamasını güçlendirir ve otomatik sanal alan patlamalarını atlar.
.webp)
Tıklama Kabul et ve yükle MSI paketinin idari ayrıcalıklara ihtiyaç duymadan ilerlemesini sağlar ve bu da kısıtlı kullanıcı haklarına sahip kurumsal ortamlarda etkili olmasını sağlar.
Withecure Labs analistleri, kurumsal ortamlardaki kimlik hırsızlığı olaylarında ani bir artışın ardından kurcperedchef’i tanımladı.
Telemetri verileri, aktivasyon üzerine, kötü amaçlı yazılımların gizli yükünün tarayıcıda saklanan kullanıcı adlarının ve şifrelerinin sistematik olarak hasat edilmesini başlattığını ortaya koydu.
Bu pesfiltrasyon sessizce gerçekleşir, saldırgan kontrollü altyapıya iletilen çalıntı kimlik bilgileri, arka kapı erişiminin ve daha ileri yan hareketin yolunu açar.
İçine gömüldüğünde pdfeditor.js Etkinleştirir, uygulama iyi huylu bir editörden gizli bir kimlik bilgisi hasatçına geçer.
.webp)
Saldırı, kayıt defteri girişlerini manipüle etmek için yerel Windows API’leri ile etkileşime giren özel bir NodeJS modülü (UtilityAddon.Node) kullanılarak düzenlenmiştir.
Mevcut kullanıcı kovanının altına Autorun Kayıt Defteri Anahtarları ekleyerek, kötü amaçlı yazılım, her oturum açma ayrıcalıklarını yükseltmeden yürütme sağlar.
Enfeksiyon mekanizması
Enfeksiyon, bir kullanıcı kötü amaçlı bir reklamı tıklattığında ve Appsuite PDF Editör yükleyicisini Vault.appsuites.ai’den indirdiğinde başlar.
Nullsoft Scriptable Yükleme Sistemi (NSIS) ile oluşturulan bu yükleyici, kullanıcının profil dizini altındaki elektron tabanlı uygulamayı açar.
Birincil yürütülebilir, PDF Editor.exeuzak sunuculardan ek JavaScript modülleri yükleyen krom tabanlı bir arayüz başlatır.
Herhangi bir PDF düzenleme işlevselliği kullanılmadan önce, yükleyici bir Autorun kayıt defteri girişi aracılığıyla kalıcılığı ayarlar. PDFEditorAutoUp Bu, yüklü uygulamaya işaret eder.
Çalışma zamanında, şaşkın pdfeditor.js Komut dosyası komut satırı anahtarları için kontroller, özellikle --cmkötü amaçlı rutinleri tetikleyen:-
if (app.commandLine.hasSwitch('cm')) {
utilityAddon.setupTasks(globals.scheduledTaskName);
startCredentialHarvest();
}Komut satırı bayraklarını kullanarak, tehdit aktörleri iyi huylu ve kötü niyetli davranışlar arasında geçiş yapabilir ve tespiti karmaşıklaştırabilir.
.webp)
Komut dosyası yürütüldüğünde startCredentialHarvest()yerel tarayıcı depolama alanını kimlik bilgileri için tarar ve bunları HTTPS üzerinden saldırgan kontrollü uç noktalara gönderirken, görünür PDF editör arayüzü şüphe uyandırmayı önlemek için işlevsel kalır.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
