NCSC geeft advies na wereldwijde PDF-malwarecampagne

In dit artikel:

Het Nederlandse NCSC waarschuwt voor een wereldwijde malwarecampagne die zich voordoet als ogenschijnlijk onschuldige tools, zoals een “PDF-editor” of een zoekhulpmiddel voor handleidingen (“ManualFinder”). De kwaadaardige software werd via internetadvertenties en hoge zoekresultaten verspreid, waardoor slachtoffers vaak met één klik de installer binnenhaalden. Inmiddels zijn er nauwelijks nieuwe waarnemingen; de campagne lijkt tijdelijk stil te liggen.

Na installatie zet de malware een geplande taak op met de naam sys_component_health_ die dagelijks een JavaScript-bestand draait. Die scripts hebben GUID-achtige bestandsnamen met aan het einde lettercombinaties zoals “or”, “ro” of “of” (bijv. 9b43...75bdor.js) en communiceren met meerdere command-&-control-domeinen, onder andere y2iax5[.]com, 5b7crp[.]com en mka3e8[.]com. Vervolgens installeert het pakket ManualFinder via msiexec; deze schijnbare handleidingzoeker bevat stiekeme proxy-functionaliteit waarmee geïnfecteerde systemen als residential proxies fungeren — dat wil zeggen dat aanvallers internetverkeer via die machines laten lopen om hun herkomst te maskeren. Microsoft detecteert de dreiging als Trojan:Win32/Malgent!MSR of Trojan:Win64/InfoStealer!MSR.

Ondertekende samples dragen certificaten van drie echte bedrijven (GLINT SOFTWARE SDN. BHD., ECHO INFINI SDN. BHD., Summit Nexus Holdings LLC), maar NCSC kan niet bepalen of die organisaties bewust betrokken zijn of dat certificaten zijn misbruikt. De campagne wordt bovendien in verband gebracht met de OneStart Browser, die vaak meegeïnstalleerd wordt en door antivirusleveranciers als Potentially Unwanted Application wordt aangemerkt.

Aanbevelingen van het NCSC: blokkeer toegang tot de genoemde C2-domeinen, scan op ManualFinder/PDF-editor-installaties, speur naar JavaScript-bestanden met GUID-achtige namen in /AppData/Local/TEMP en waarschuw eindgebruikers om geen onbetrouwbare externe tools te installeren.