Byakugan: prijetnja koja se krije u PDF datotekama

Byakugan zlonamjerni softver je nova i sofisticirana prijetnja koja je izazvala zabrinutost u svetu sajber bezbjednosti, posebno zbog upotrebe posebno pripremljenih PDF datoteka kao vektora napada. Ovaj podmukli zlonamjerni softver može da ukrade osjetljive informacije kao što su kolačići, detalji o kreditnoj kartici, sačuvane lozinke i istorije preuzimanja.

Byakugan

Byakugan: prijetnja koja se krije u PDF datotekama; Source: Bing Image Creator

BYAKUGAN PDF DATOTEKE

Zlonamjerni akteri su dugo koristili povjerenje i popularnost PDF datoteka za isporuku svojih korisnih tovara, pa ove datoteke često sadrže štetne kôdove ili iskorištavaju ranjivosti u PDF čitačima. Byakugan zlonamjerni softver nije izuzetak, jer i on koristi ovu taktiku kao dio procesa infekcije za napad na Windows operativne sisteme. Konkretna uzorak sa portugalskom PDF datotekom koji su identifikovali sigurnosni istraživači kompanije Fortinet je otkriven u januaru 2024. godine.

 

Funkcionisanje

Proces infekcije počinje bezazlenom PDF datotekom koja sadrži zamagljenu tabelu koja mami žrtvu da klikne na zlonamjernu vezu pod izgovorom da pročisti sliku. Kada korisnik klikne na vezu, sistem žrtve preuzima alatku za preuzimanje prerušenu u require.exe izvršnu datoteku. Ovaj alat za preuzimanje uspostavlja postojanost tako što se dodaje na listu izuzeća sigurnosnog softvera Windows Defender i podešava pravila zaštitnog zida. Zatim nastavlja sa preuzimanjem DLL datoteke koristeći DLL otmicu, na način da iskorištava legitimni proces require.exe za izvršavanje glavnog Byakugan modula, obmanjujuće nazvanog chrome.exe.

 

“Postoji rastući trend upotrebe čistih i zlonamjernih komponenti u zlonamjernom softveru, a Byakugan nije izuzetak. Ovaj pristup povećava količinu buke koja se stvara tokom analize, što otežava precizno otkrivanje. Međutim, preuzete datoteke su pružile kritične detalje o tome kako Byakugan funkcioniše, što nam je pomoglo da analiziramo zlonamjerne module.”

 – FortiGuard Labs –

 

Jednom kada se izvrši, chrome.exe uspostavlja trajnu postojanost kreiranjem zakazanog zadatka koji pokreće njegovo izvršenje pri svakom pokretanju sistema. Takođe kreira ključ u sistemskim registrima kako bi osigurao da se pokreće pri pokretanju sistema i mijenja pravila zaštitnog zida kako bi omogućio svoju komunikaciju sa serverima za komandu i kontrolu (C2). Byakugan zlonamjerni softver tada počinje svoje aktivnosti krađe podataka krađom kolačića, podataka o kreditnim karticama, sačuvanih lozinki i istorije preuzimanja. Može da nadgleda ekran žrtve, pravi snimke ekrana, dinamički prilagođava intenzitet svojih mogućnosti kripto rudarenja kako bi izbjegao otkrivanje, bilježi pritiske tastera i eksfiltrira podatke nazad na kontrolni server napadača.

 

Mogućnosti

Byakugan zlonamjerni softver je napredna i višestruka prijetnja koja cilja na korisničke podatke izbjegavajući otkrivanje kroz mješavinu legitimnih i zlonamjernih komponenti uključujući nekoliko funkcija:

  1. Ovaj zlonamjerni softver ima mogućnosti nadgledanja i snimanja ekran korisnika tako što će praviti snimke ekrana njihove radne površine ili pojedinačnih prozora u redovnim intervalima. Ova funkcija omogućava napadačima da steknu uvid u to šta korisnici rade na svojim uređajima,
  2. Zlonamjerni softver koristi resurse sistema za rudarenje kriptovaluta, stvarajući prihod za svoje kreatore. Byakugan zlonamjerni softver može da prilagodi svoje rudarske aktivnosti na osnovu korištenja sistema kako bi izbjegao uticaj na performanse tokom zahtjevnih zadataka,
  3. Byakugan zlonamjerni softver prati unos korisnika bilježeći svaki pritisak tastera na inficiranom uređaju omogućavajući zlonamjernim akterima da ukradu osjetljive informacije kao što su lozinke i akreditivi za prijavu,
  4. Zlonamjerni softver može da mijenja ili briše datoteke u sistemu po volji, potencijalno izazivajući štetu ili gubitak podataka za korisnike,
  5. Byakugan zlonamjerni softver je sposoban da prikuplja istoriju pregledanja, kolačiće i druge osjetljive podatke u vezi sa pregledačem iz popularnih internet pregledača kao što su Google Chrome, Mozilla Firefox, Microsoft Edge i Apple Safari,
  6. Kako bi izbjegao otkrivanje i analizu od strane bezbjednosnih alata, zlonamjerni softver koristi tehnike protiv analize kao što su zamagljivanje kôda, polimorfizam ili pakovanje. Ove metode otežavaju istraživačima da shvate kako ovaj zlonamjerni softver interno funkcioniše,
  7. Zlonamjerni softver obezbjeđuje kontinuirano prisustvo na inficiranom sistemu tako što konfiguriše planer zadataka da se izvršava po pokretanju sistema. Ova funkcija omogućava zlonamjernom softveru da ostane aktivan čak i nakon što se korisnik odjavi ili ponovo pokrene računar.

 

ZAKLJUČAK

Byakugan zlonamjerni softver predstavlja naprednu i višestruku prijetnju korisničkim podacima kroz svoju sposobnost da izbjegne otkrivanje tako što se prerušava u legitimni alat za upravljanje memorijom dok krade osjetljive informacije i održava upornost na zaraženom sistemu. Njegov proces zaraze počinje sa bezazlenom PDF datotekom koja prevari korisnike da preuzmu naizgled bezopasnu izvršnu datoteku, koja zatim uspostavlja trajnu postojanost i nastavlja da krade podatke i ostvaruje komunikaciju sa C2 serverima.

 

ZAŠTITA

Da biste zaštitili svoj sistem od zlonamjernog softvera Byakugan, korisnici mogu preduzeti sljedeće mjere:

  1. Ažurirati operativni sistem i sav instalirani softver sa najnovijim bezbjednosnim ispravkama i ažuriranjima. Ovo će pomoći u sprečavanju poznatih ranjivosti koje bi Byakugan zlonamjerni softver ili sličan zlonamjerni softver mogao da iskoristi za napad uređaj korisnika,
  2. Potrebno je biti oprezan prilikom preuzimanja datoteka, posebno iz nepouzdanih izvora. Zlonamjerni softver kao što je Byakugan može se distribuirati putem priloga elektronske pošte, zaraženih internet lokacija i mreža ravnopravnih računara (eng. peer-to-peer – P2P). Koristiti antivirusni softver sa zaštitom u realnom vremenu za skeniranje svih preuzetih datoteka prije njihovog otvaranja,
  3. Koristiti jake i jedinstvene lozinke za svoje internet naloge, posebno one koje se odnose na finansijske usluge ili osjetljive informacije. Poznato je da Byakugan krade podatke internet pregledača, uključujući akreditive za prijavu, tako da je obezbjeđivanje internet naloga ključno,
  4. Omogućiti autentifikaciju u dva koraka (eng. two-factor authentication – 2FA) na svim podržanim nalozima na mreži. Autentifikacija u dva koraka dodaje dodatni nivo sigurnosti tako što zahteva drugi oblik verifikacije, kao što je kôd poslat putem tekstualne poruke ili generisan preko aplikacije za autentifikaciju, pored lozinke,
  5. Obratiti pažnju na phishing u elektronskoj pošti i na internet lokacijama. Byakugan zlonamjerni softver može da ukrade informacije iz internet pregledača, uključujući kolačiće i automatski popunjene profile, koji se mogu koristiti za phishing napade. Uvijek dvaput provjeriti adresu elektronske pošte pošiljaoca i adrese internet stranica prije nego što se unesu bilo kakve osvetljive informacije,
  6. Koristiti provjereno antivirusno riješenje za redovno skeniranje operativnog sistema uređaja. Ova antivirusna softverska riješenja mogu pomoći u otkrivanju i uklanjanju Byakugan zlonamjernog softvera, kao i drugih prijetnji koje možda vrebaju unutar operativnog sistema. Uvjeriti se da je antivirusni softver ažuriran sa najnovijim definicijama kako bi se obezbijedila maksimalna zaštita od poznatih prijetnji,
  7. Koristiti zaštitni zid za blokiranje neovlaštenog pristupa sistemu. Zaštitni zid može pomoći u sprečavanju zlonamjernog saobraćaja da dođe do vašeg računara, uključujući onaj koji bi mogao da koristi Byakugan ili sličan zlonamjerni softver za ulazak i krađu informacija na uređaju,
  8. Potrebno je biti informisan o novim zlonamjernim softverima kao što je Byakugan i o tome kako oni rade kako bi se mogle preduzeti odgovarajuće mjere zaštite. Ovo uključuje učenje o najboljim praksama za bezbjednost na mreži, kao što je korišćenje jakih lozinki, omogućavanje autentifikaciju u dva koraka i oprez pri preuzimanju datoteka ili otvaranje veza iz nepoznatih izvora,
  9. Potrebno je praviti redovno rezervnu kopiju važnih podataka na eksternom čvrstom disku ili usluzi skladištenja u oblaku. U slučaju da Byakugan ili neki drugi zlonamjerni softver uspije da zarazi sistem i ukrade ili izbriše podatke, pravljenje rezervne kopije će pomoći da se izvrši oporavak sistema bez trajnog gubitka podataka.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.