Um backdoor sofisticado no editor do AppSuite PDF que permite que os atores da ameaça executem comandos arbitrários em sistemas Windows comprometidos.
Inicialmente sinalizada como um programa potencialmente indesejado devido ao seu comportamento agressivo de instalação, a verdadeira natureza da Appsuite era revelado Quando seus componentes maliciosos foram desbotados e analisados.
Os atores de ameaças exploraram sites de ferramentas em PDF de alto escalão para distribuir um instalador MSI enganoso sob o disfarce de um aplicativo legítimo de produtividade.
Esses sites, remanescentes de campanhas anteriores de cavalos de Trojan, como o Justaskjacky, direcionam as vítimas a baixar um pacote MSI construído por Wix.
Depois de executado, o instalador busca o editor PDF baseado em elétrons do Vault.AppSuites.ai no perfil do usuário e estabelece persistência, agendando futuras execuções com o --cm=--fullupdate trocar.
O coração do compromisso reside em pdfeditor.jsum ofuscado JavaScript arquivo que contém a lógica backdoor.
Os arquivos de suporte incluem UtilityAddon.nodeuma DLL auxiliar empregada para persistência por meio de tarefas programadas e binários baseados no NSIS que adicionam entradas de registry autorun.
Apenas 17 das 3.661 linhas desbobinadas estão relacionadas à GUI de edição de PDF; O restante dirige as rotinas do backdoor.
Switches da linha de comando e “rotinas WC”
Appsuite traduz interruptores voltados para o usuário (por exemplo, --installAssim, --pingAssim, --checkAssim, --rebootAssim, --cleanup) em “rotinas WC” internas que executam instalação, limpeza, pesquisa de configuração e execução de comando.
O --partialupdate e --fullupdate Switches Entre em contato com o servidor de comando e controle (C2) para recuperar configurações, navegador credenciaise modelos de comando arbitrários, que são executados no host.
Durante o --install Rotina, o backdoor obtém um identificador de sistema (SID) através da DLL UtilityAddon, registra -se no C2 em appsuites.ai/api/s3/newe armazena o ID de instalação e Sid em um codificado LOG1 arquivo.
Para fazer isso, ele remove todos os caracteres ‘-‘ da sequência de ID de instalação e cria a chave de criptografia concatenando ‘276409396FCC0A23’ com os primeiros 0x10 bytes do ID de instalação processado.
Em seguida, cria duas tarefas programadas – uma para acionar --partialupdate Após um atraso de um dia e outro para invocar repetidamente --ping—Enstrando furtivo, evitando as restrições de tempo da Sandbox.
O --cleanup A rotina, invocada pelo desinstalador, não registra a instalação do servidor e remove as tarefas programadas.
No entanto, tarefas adicionais criadas durante o tempo de execução e o acesso residual de backdoor tornam o desinstalador oficial ineficaz. A remediação completa exige que a repavização do sistema elimine a persistência não autorizada.
Modelos fornecidos por C2
A capacidade mais grave emerge no --check e --reboot rotinas. Depois de verificar as restrições de tempo para evitar a execução repetida, o backdoor busca modelos de comando criptografados de sdk.appsuites.ai/api/s3/options e …/config.
Esses modelos permitem a execução direta de comandos arbitrários – como modificações de registro, manipulação de preferência do navegador ou lançamento de malware adicional – no sistema infectado.
Os manipuladores adicionais têm como alvo navegadores baseados em cromo e aplicativos personalizados, como o OneLaunch e o Wave Browser.
Eles expressam as preferências do usuário, descriptografaram credenciais salvas por meio da DLL UtilityAddon e substituem os arquivos de configuração local. As chaves do registro são modificadas ou adicionadas para manter a persistência ou desativar as ferramentas de segurança.
O Appsuite PDF Editor é indiscutivelmente malicioso, combinando um editor de PDF funcional com um backdoor totalmente em destaque.
A tática audaciosa de enviar o malware para remoção falsa positiva destaca uma estratégia emergente de ator de ameaças.
Os fornecedores de segurança devem tratar “ferramentas de produtividade” suspeitas com um escrutínio elevado, e as organizações que encontram infecções de AppSuite devem reapatar máquinas afetadas para garantir a remoção completa.
Os editores PDF gratuitos permanecem em alta demanda, mas esse incidente ressalta a necessidade crítica de vigilância do fornecedor e do usuário contra o software trojanizado.
Encontre esta história interessante! Siga -nosLinkedIneXPara obter mais atualizações instantâneas.