Sala de prensa

El CSIRT Finaciero informa a todos los interesados sobre cada uno de los aspectos corporativos relevantes en materia de ciberseguridad.

INSTALADORES FALSOS DE ADOBE ACROBAT READER LIBERAN TROYANO BYAKUGAN

16/07/2024

INSTALADORES FALSOS DE ADOBE ACROBAT READER LIBERAN TROYANO BYAKUGAN
Se ha detectado una actividad maliciosa que distribuye el troyano de acceso remoto (RAT) “Byakugan” por medio de correos electrónicos de tipo phishing con archivos maliciosos en formato PDF adjuntos, redirigiendo al usuario a ejecutar a una descarga de un ejecutable .EXE que suplanta al software legítimo Adobe Acrobat Reader y permite la infección por RAT en el equipo objetivo.

Descripción

Byakugan se destaca por tener una cadena de ataque que utiliza distintas técnicas como el secuestro de DLL y la omisión del control de acceso de usuarios de Windows (UAC), combinando elementos legítimos y maliciosos durante su proceso de infección dificultando su análisis e identificación por parte de los diferentes softwares de seguridad, herramientas automatizadas y analistas.

Esta amenaza emplea un elaborado proceso de infección que se compone de varias etapas, iniciando con la obtención de una herramienta ejecutable maliciosa disfrazada como "Reader_Install_Setup.exe", a través del archivo malicioso PDF contenido en las campañas de correos de phishing, instalando una DLL que tiene como propósito liberar la carga útil final. Adicionalmente, descarga el lector de PDF legítimo "Wondershare PDFelement" como distractor, para finalmente descargar el módulo principal de Byakugan.

El servidor de comando y control (C2) de Byakugan no solo organiza la entrega de archivos y comandos al equipo infectado, sino que también sirve como panel de control del atacante, permitiendo la toma de capturas de pantalla, descargas de mineros de criptomonedas, registro de pulsación de teclas (keylogger), carga de archivos y captura de los datos almacenados en los navegadores web.

Vector de infección

Esta amenaza se propaga principalmente a través de correos electrónicos de phishing al hacer clic en un enlace malicioso incrustado en un archivo PDF adjunto. Esta acción descarga una herramienta de ejecución disfrazada como "Reader_Install_Setup.exe”. Al ejecutarla, se instala una DLL maliciosa que utiliza la técnica de secuestro de DLL para explotar el proceso legítimo "BluetoothDiagnosticUtil.dll" y descargar el módulo principal del RAT, que se disfraza como el ejecutable "chrome.exe".

Recomendaciones

Esta amenaza puede ser mitigada o detectada en su infraestructura tecnológica aplicando las siguientes recomendaciones: 

  • Verificar cada uno de los indicadores de compromiso (IoC) adjuntos en el presente producto, los cuales pueden ser implementados en sus sistemas de seguridad perimetral; por lo anterior, el equipo del Csirt Financiero recomienda validar que no se interrumpa la disponibilidad de la operación y/o prestación de sus servicios.
  • Implementar la autenticación de doble factor (2FA) o autenticación multifactor (MFA) para reforzar la seguridad de las cuentas de usuario.
  • Educar a los colaboradores de la entidad sobre las amenazas cibernéticas, incluyendo este RAT, como identificar y evitar correos electrónicos con posibles phishing.

Leer noticia: https://www.fortinet.com/blog/threat-research/byakugan-malware-behind-a-phishing-attack