Una nueva investigación ha arrojado luz sobre el intrincado funcionamiento del malware Byakugan, detectado inicialmente en enero. Durante una investigación sobre una campaña que presentaba malware oculto en archivos PDF, el equipo de FortiGuard Labs descubrió información adicional sobre el malware. El jueves pasado, emitieron un aviso destacando las capacidades de robo de información de Byakugan. Según el artículo técnico, el modus operandi de Byakugan comparte similitudes con el malware descubierto anteriormente, incluido el uso de tácticas engañosas para atraer a las víctimas. Al disfrazarse de instalador de Adobe Reader en un PDF portugués, se solicita a los usuarios que descarguen y ejecuten el malware. El PDF solicita a las víctimas que hagan clic en un enlace oculto, lo que desencadena una cadena de eventos que conducen a la descarga de un programa de descarga. Este programa de descarga, llamado «require.exe», junto con un instalador benigno, se deposita en la carpeta temporal del sistema. Posteriormente, se descarga una DLL, que se ejecuta mediante secuestro de DLL para recuperar el módulo principal, «chrome.exe». El módulo principal de Byakugan, en particular, se recupera de un servidor de comando y control (C2) designado, que potencialmente sirve como panel de control del atacante. Sus funcionalidades, tal como se desprenden de las descripciones del código fuente, son diversas. Byakugan, empaquetado con node.js y pkg, incorpora varias bibliotecas que se ocupan de diversas tareas. Estas funciones incluyen monitoreo de pantalla, captura de pantalla, extracción de criptomonedas, registro de teclas, manipulación de archivos y robo de información del navegador. En particular, Byakugan puede adaptar sus actividades mineras en función del uso del sistema, evitando el impacto en el rendimiento durante tareas de alta demanda. Para mantener su funcionamiento, Byakugan emplea medidas anti-análisis y garantiza la persistencia configurando el programador de tareas para que se ejecute al iniciar el sistema. Este enfoque dual de incorporar componentes tanto benignos como maliciosos complica el análisis, lo que dificulta la detección precisa. «Existe una tendencia creciente a utilizar componentes tanto limpios como maliciosos en el malware, y Byakugan no es una excepción», se lee en el aviso. “Este enfoque aumenta la cantidad de ruido generado durante el análisis, lo que dificulta las detecciones precisas. Sin embargo, los archivos descargados proporcionaron detalles críticos sobre cómo funciona Byakugan, lo que nos ayudó a analizar los módulos maliciosos”. Lea más sobre malware similar: Infostealer Lumma evoluciona con un nuevo método anti-sandbox

Source link