Het NCSC waarschuwt voor malware dat zich vermomde als een PDF-editor of zoekmachine voor handleidingen. Het Nederlandse expertisecentrum adviseert om command & control (C2)-domeinen te blokkeren en te controleren op verdachte bestanden.
Organisaties werden wereldwijd getroffen door een complexe aanvalscampagne waarbij kwaadwillenden gebruik maken van ogenschijnlijk onschuldige tools. Volgens het NCSC verspreiden zich applicaties als “ManualFinder” en “PDF-editor” via internetadvertenties en zoekresultaten, vaak hoog in de rankings.
Geïnfecteerde systemen fungeren als residential proxies, waardoor kwaadwillenden hun activiteiten kunnen maskeren door te lijken op gewoon internetverkeer.
Geraffineerd
De werkwijze is geraffineerd. Na installatie creëert de malware een geplande taak genaamd “sys_component_health_” die dagelijks een JavaScript-bestand uitvoert. Deze bestanden dragen GUID-achtige namen gevolgd door letters zoals “or”, “ro” of “of”, bijvoorbeeld “9b432b63-2446-f55d-4997-88f977d7047275bdor.js”. Het JavaScript-bestand communiceert met verschillende C2-domeinen, waaronder y2iax5[.]com, 5b7crp[.]com en mka3e8[.]com.
Hierna installeert de software ManualFinder via msiexec, dat naast het zoeken naar handleidingen ook heimelijke proxy-functionaliteiten bevat. Microsoft detecteert de malware inmiddels als Trojan:Win32/Malgent!MSR of Trojan:Win64/InfoStealer!MSR.
Certificaten wijzen naar drie bedrijven
De malwaresamples blijken ondertekend met certificaten van “GLINT SOFTWARE SDN. BHD”, “ECHO INFINI SDN. BHD.” en “Summit Nexus Holdings LLC”. Dit zijn werkelijke bedrijven, maar het NCSC kan niet vaststellen of zij direct verbonden zijn aan de campagne of dat hun certificaten zijn gestolen.
Het NCSC linkt de campagne onder voorbehoud aan de OneStart Browser, vaak meegeleverd met andere software. Aantrekkelijk is het voor de oplettende gebruiker niet: door antivirusvendors wordt het al gemarkeerd als Potentially Unwanted Application (PUA). Deze browser staat bekend om zijn associaties met spyware en adware-verspreiding.
Campagne ligt momenteel stil
Verder onderzoek wijst uit dat er op grote schaal advertenties zichtbaar waren, waardoor eenvoudige infectie mogelijk was. Gebruikers hoefden slechts op een advertentie te klikken om de malware te downloaden. Op dit moment lijkt de campagne stil te liggen en zijn er nagenoeg geen nieuwe activiteiten waargenomen.
Het NCSC adviseert organisaties om toegang tot de genoemde C2-domeinen te blokkeren, te controleren op ManualFinder en PDF-editor applicaties, en JavaScript-bestanden met GUID-achtige namen in de /AppData/Local/TEMP directory op te sporen. Daarnaast moeten eindgebruikers gewaarschuwd worden tegen het installeren van onvertrouwde externe tools.