NCSC waarschuwt voor malware verstopt in PDF-bewerkingsprogramma's

Het Nationaal Cyber Security Centrum (NCSC) adviseert organisaties om toegang tot de betrokken command-and-control-domeinen (C2) te blokkeren, systemen te controleren op de aanwezigheid van de genoemde applicaties en JavaScript-bestanden met GUID-achtige namen in de map AppData\Local\Temp. Daarnaast wordt eindgebruikers aangeraden geen onvertrouwde externe tools te installeren.

JavaScript-bestand uitgevoerd

De malware, vermomd als legitieme software, installeert een geplande taak (sys_component_health_) die dagelijks een JavaScript-bestand uitvoert via node.exe. Deze bestanden hebben namen als 9b432b63-2446-f55d-4997-88f977d7047275bdor.js en communiceren met C2-domeinen zoals y2iax5[.]com, 5b7crp[.]com en mka3e8[.]com. Vervolgens wordt ManualFinder geïnstalleerd, een tool die naast het zoeken naar handleidingen ook proxyfunctionaliteiten bevat. Hierdoor kunnen aanvallers het geïnfecteerde systeem misbruiken als residential proxy, waarmee ze hun activiteiten kunnen maskeren alsof het slachtoffer zelf de kwaadaardige handelingen uitvoert.

Onderzochte malwaremonsters bleken ondertekend met certificaten van bedrijven als GLINT SOFTWARE SDN. BHD, ECHO INFINI SDN. BHD. en Summit Nexus Holdings LLC. Of deze bedrijven direct betrokken zijn bij de campagne of dat hun certificaten zijn misbruikt, is nog onduidelijk.

Malafide advertenties

De infectieketen lijkt te beginnen bij malafide advertenties die zich voordoen als PDF-handleidingen waar gebruikers naar zoeken. Daarnaast misbruiken de aanbieders van gratis PDF-editors de bereidheid van gebruikers om in ruil voor ‘gratis’ diensten hun IP-adressen beschikbaar te stellen voor residential proxy-netwerken. Uit onderzoek blijkt dat de software in sommige gevallen ook interacteert met browsergegevens, hoewel de precieze omvang hiervan nog wordt onderzocht.

Er is mogelijk een verband met de OneStart Browser, een tool die vaak meegeleverd wordt met andere software en door antivirusleveranciers wordt aangemerkt als Potentially Unwanted Application (PUA). OneStart staat bekend om de verspreiding van spyware en adware.

Campagne lijkt stil te liggen

De campagne lijkt momenteel stil te liggen, met nauwelijks nieuwe activiteiten. Desondanks blijft waakzaamheid geboden, gelet op de schaal waarop de malware zich via advertenties heeft verspreid. Gebruikers wordt geadviseerd alleen software te downloaden van vertrouwde bronnen en alert te zijn op verdachte advertenties.

Het NCSC adviseert organisaties de volgende stappen te nemen tegen de dreigingen:

• Zoek naar aanwijzingen van onderstaande certificaatafgevers binnen je omgeving. (2)
• Verwijder software die is ondertekend door de genoemde certificaatafgevers van je systemen.
• Onderzoek geplande taken (scheduled tasks) die JavaScript uitvoeren met NodeJs (node.exe) en verwijder deze.
• Microsoft detecteert de malware als Trojan:Win32/Malgent!MSR of Trojan:Win64/InfoStealer!MSR
• Controleer je omgeving op aanwijzingen die overeenkomen met de meegeleverde IOCs (Indicators of Compromise).
• Blokkeer de gerelateerde bestanden via je EDR-oplossing.
• Blokkeer de domeinen die in gebruik zijn in deze casus.