Fałszywe instalatory Adobe Acrobat Reader
Adobe Acrobat Reader to bez wątpienia jeden z najpopularniejszych programów do odtwarzania plików PDF. Nic zatem dziwnego, że cyberprzestępcy chcą wykorzystać tę renomę do rozsiewania złośliwych oprogramowań.
Punktem wyjścia ataku są pliki PDF napisane w języku portugalskim. Kuszą one swoje ofiary zamazanym obrazem, sugerując kliknięcie łącza w celu pobrania aktualizacji czytnika plików PDF. Niestety, otworzenie tego linku może prowadzić do katastrofalnych skutków.
Po kliknięciu ofiara zostaje przekierowana na stronę, na której może pobrać aktualizację w postaci instalatora. Ten rzekomo naprawi problem z wyświetlaniem pliku PDF. Jednakże de facto prowadzi to do uruchomienia sekwencji infekcji na komputerze ofiary. Instalator zawiera złośliwe oprogramowanie Byakugan.
Jak działa Byakugan?
Oprogramowanie Byakugan wykorzystuje różne techniki, aby zainfekować komputer ofiary. Przejmuje biblioteki DLL i obejście kontroli dostępu użytkowników systemu Windows, co pozwala na załadowanie złośliwego pliku biblioteki dynamicznej (DLL) o nazwie „BluetoothDiagnosticUtil.dll”.
Plik binarny jest przystosowany do gromadzenia i wydobywania metadanych systemowych na serwer dowodzenia i kontroli (C2) oraz upuszczania głównego modułu („chrome.exe”) z innego serwera, który działa również jako jego C2 do odbierania plików i poleceń.
Byakugan raz zainstalowany, zbiera i wykorzystuje metadane systemowe oraz atakuje różne obszary komputera ofiary. Od monitorowania pulpitu za pomocą OBS Studio, po kradzież danych z przeglądarek internetowych.
Jak chronić się przed Byakugan?
Aby ochronić się przed złośliwym oprogramowaniem po pierwsze, zawsze trzeba pobierać oprogramowanie z oficjalnych źródeł. Należy też unikać klikania hiperłączy w plikach PDF, z nieznanego nam źródła.
Dodatkowo warto zainstalować oprogramowanie antywirusowe, które może choć częściowo wesprzeć w kontekście ochrony przed wirusami.
Warto jednak podkreślić, że kampania cyberprzestępców rozsiewających Byakugan to niejedyne zagrożenie, przed którym należy się chronić. Istnieją inne formy podobnych działań. Takie jak chociażby wykorzystanie fałszywej wersji programu Notepad++ do rozprzestrzeniania złośliwego oprogramowania WikiLoader.
Cyberprzestępcy stale wymyślają nowe sposoby na wykorzystanie luk w zabezpieczeniach, dlatego ważne jest, aby być czujnym i stale aktualizować swoją wiedzę na temat bezpieczeństwa komputerowego.
Dlatego tak ważne jest, aby uważać na to, co i skąd pobieramy. Zwłaszcza że cyberprzestępczość stale rośnie i staje się poważnym zagrożeniem zarówno dla zwykłych użytkowników internetu, jak i firm oraz organizacji.
