Ameaças atores de arma o editor de PDF Trojan para converter dispositivos em proxies

Os pesquisadores descobriram uma campanha complexa usando software trojanizado que usa certificados autênticos de assinatura de código para evitar a detecção e transformar máquinas comprometidas em proxies residenciais não intencionais, de acordo com um recente aviso de inteligência de ameaças da Expel Security.

A operação começa com arquivos com a assinatura de assinatura de código de “Glint Software Sdn. Bhd.”

Assinatura de código maliciosa

Central para esse esquema é um gotas de JavaScript que facilita a instalação de um Trojan chamado de “Manualfinder”.

Esse conta -gotas é implantado através de mecanismos persistentes vinculados ao navegador OneStart, uma aplicação problemática conhecida com um histórico de comportamento suspeito.

A persistência é alcançada através de uma tarefa agendada que executa o Arquivo javascript No diretório temporário do usuário, garantir que o malware permaneça ativo nas reinicializações do sistema.

Uma vez ativado, o JavaScript estabelece conexões de saída para domínios de comando e controle (C2), como o MKA3E8[.]com e y2iax5[.]com, do qual ele recupera e instala o executável ManualFinder assinado.

Esta cadeia de infecções em vários estágios destaca o foco dos atacantes na furtividade e na confiabilidade, explorando certificados confiáveis ​​para ignorar os controles de segurança do endpoint e o escrutínio do usuário.

Malware de dupla função

Análises adicionais revelam a natureza insidiosa das cargas úteis envolvidas. Um dos arquivos assinados se disfarça de editor de PDF benigno, mas abriga recursos de trojan que reconfiguram secretamente o dispositivo comprometido em um nó residencial de proxy.

Essa transformação permite que os atores de ameaças roçam o tráfego malicioso através do endereço IP da vítima, anonimizando efetivamente suas operações e potencialmente implicando o usuário infectado em atividades ilícitas.

O aplicativo ManualFinder, quando executado em um ambiente de sandbox controlado, se apresenta como um utilitário legítimo projetado para ajudar os usuários a localizar manuais de produtos, completos com recursos de pesquisa funcional.

No entanto, seu contexto de implantação levanta alarmes: ele é involuntariamente instalado através do navegador OneStart, apesar do site associado promovê -lo como uma ferramenta gratuita sem fornecer nenhuma opção de download direto.

Essa discrepância sugere uma estratégia deliberada para distribuir o malware por meio de canais de software agrupados ou seqüestrados, capitalizando a reputação estabelecida da OneStart por práticas superficiais.

De acordo com o relatórioA investigação da EXPEL ressalta como esses malware de dupla fins combinam utilidade com malícia, complicando os esforços de detecção, pois a fachada benigna pode enganar os usuários e os scanners automatizados.

A campanha geral reflete um cenário de ameaças em evolução, onde os atacantes armarem ferramentas diárias de produtividade, transformando-as em vetores para redes de proxy que suportam atividades como ataques distribuídos de negação de serviço, exfiltração de dados ou espionagem cibernética anonimizada.

As implicações desse trojão são significativas para os profissionais de segurança cibernética, pois demonstram o abuso de infraestrutura de assinatura de código e os desafios no monitoramento de infecções persistentes e de baixo perfil.

As organizações são aconselhadas a examinar assinaturas de software, monitorar tarefas programadas para execuções anômalas de JavaScript e bloquear conhecido Domínios C2 para mitigar riscos.

Ao converter dispositivos em procuradores, os invasores não apenas expandem sua infraestrutura, mas também expõem as vítimas a riscos legais e de reputação, enfatizando a necessidade de estratégias robustas de caça e proteção de endpoint.

Indicadores de compromisso (IOCs)

Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!