Byakugan-Malware: Virus per pdf

Wer Dokumente verschicken will, nutzt oftmals das Dateiformat pdf, da es im Gegensatz zu offenen Dateien wie Word oder Excel als sicherer gilt und daher weniger oft im Spamfilter hängen bleibt. Doch auch pdfs können mit Malware kompromittiert sein, wie aktuelle Fälle zeigen, über die u.a. Sicherheitsforscher von Fortinet berichten.

Bereits im Januar entdeckten die Forscher eine pdf-Datei, die in portugiesischer Sprache verfasst war, und die Malware Byakugan verbreitet hat. Dafür nutzen die Kriminellen eine verschwommene Bilddatei mit der Aufforderung, die lesbare Datei per Klick auf einen Link herunterzuladen. Natürlich führt der Link nicht zum gewünschten Inhalt, sondern zu einer Downloader-Datei mit dem Namen require.exe. Anschließend wird ein Installer über den Ordner Temporäre Dateien heruntergeladen, gefolgt von einer DLL-Datei, die require.exe dazu bringt, das Hauptmodul der Malware herunterzuladen.

Byakugan ist eine node.js-basierte Malware, die OBS Studio verwendet, um den Desktop des Ziels zu überwachen und verschiedene Funktionen auszuführen. Sie verfügt über mehrere Bibliotheken, darunter einen Bildschirm-Monitor, Miner, Keylogger.

Darüber hinaus kann Byakugan Downloads von beliebten Minern wie Xmrig, t-rex und NBMiner durchführen. Er speichert auch Daten im kl-Ordner und kann Informationen über Cookies, Kreditkarten, Downloads und automatisch ausgefüllte Profile stehlen, wie die Forscher berichten

Byakugan verfügt auch über Anti-Analyse-Funktionen, z. B. gibt er vor, ein Speichermanager zu sein, und setzt den Pfad auf den Ausschlusspfad des Windows Defender. Außerdem legt er eine Taskplaner-Konfigurationsdatei im Defender-Ordner ab, sodass er beim Starten automatisch ausgeführt wird.

Auch das AhnLab Security Center (ASEC) berichtet über einen ähnlichen Fall, in dem ein Infostealer per pdf in Portugiesisch verbreitet wurde. Das Opfer wurde hier aufgefordert, den Acrobat Reader herunterzuladen. Der enthaltene Link führt jedoch auch in diesem Fall nicht zum Ziel, sondern zu einer Malware-Datei mit dem Namen Reader_Install_Setup.exe. Außerdem werden zwei bösartige Dateien erstellt und eine Windows-Systemdatei namens msdt.exeals als Administrator ausgeführt, wobei er die bösartige BluetoothDiagnosticUtil.dll und die bösartige DLL-Datei lädt. Durch DLL-Hijacking kann der Angreifer die User Account Control (UAC) umgehen.

Derartige Bedrohungen zu erkennen, wird dadurch erschwert, weil die Hintermänner sowohl saubere als auch bösartige Komponenten in ihrer Malware verwenden. Um sich vor Phishing-Angriffen und trügerischer Malware zu schützen, müssen Benutzer daher beim Öffnen ihrer E-Mails vorsichtig sein und die Legitimität des Absenders überprüfen. Außerdem sollten sie sichere Passwörter und eine Zwei-Faktor-Authentifizierung verwenden, ihre Software auf dem neuesten Stand halten und bevorzugt Sicherheitssoftware installieren, die Phishing-E-Mails und Malware erkennen und blockieren kann. Vermieden werden sollte es auch, auf Links zu klicken oder Anhänge aus verdächtigen E-Mails herunterzuladen. Im Zweifelsfall lohnt es sich, den vermeintlichen Absender zu kontaktieren und nachzufragen.

Über die 8com GmbH & Co. KG

Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach. Verschiedene Penetrationstests und Security-Awareness-Leistungen runden das Angebot ab.

8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 18 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.

Firmenkontakt und Herausgeber der Meldung:

8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de

Ansprechpartner:
Julia Olmscheid
Head of Communications
Telefon: +49 (6321) 484460
E-Mail: redaktion@8com.de
Felicitas Kraus
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel