Recentelijk kwam een wereldwijde malwareinfectie van Windows computers aan het licht dankzij software die gebruikers zelf installeerden. Het NCSC adviseert daarom toegang tot de betreffende C2-domeinen te blokkeren, te controleren op de aanwezigheid van de applicaties “Manualfinder”, “PDF-editor” en varianten daarvan, te controleren op de aanwezigheid van JavaScript bestanden met een op een GUID lijkende naam in de directory /AppData/Local/TEMP en om eindgebruikers er met klem op te wijzen om geen externe, onvertrouwde tools te installeren.
Ogenschijnlijk onschuldige tools om handleidingen te zoeken genaamd “manualfinder” alsmede applicaties voor het kunnen bewerken van PDF-bestanden, vaak vindbaar hoog in zoekresultaten of verspreid door internetadvertenties, bleken pas na installatie malware-gedragingen te vertonen.
Tools en applicaties voor het downloaden van handleidingen en het kunnen bewerken van PDF bestanden bleken veelvoudig geïnstalleerd te worden door gebruikers op Windows systemen. Toen na verloop van tijd malware activiteit werd gedetecteerd afkomstig van deze softwareapplicaties, zorgde dit voor een groot aantal alerteringen bij SOCs en cybersecuritybedrijven wereldwijd.
Deze malware zorgt ervoor dat het systeem van het slachtoffer misbruikt kan worden als zogenaamde ‘residential proxy’ door kwaadwillenden, die op deze manier hun activiteiten kunnen maskeren en doen laten overkomen alsof het slachtoffer de kwaadwillende acties uitvoert.
Website GBHackers postte op 21 Augustus over de ontdekking van een complexe campagne waarbij een kwaadwillende actor software installeert op gecompromitteerde machines. Deze machines worden daarna residential proxies en kunnen ingezet worden voor malafide handelingen en digitale aanvallen.
De malware, vermomd zich als een legitieme PDF editor, creëert na installatie een geplande taak (sys_component_health_) die dagelijks een JavaScript-bestand uitvoert met node.exe.
De bestandsnaam van het JavaScript-bestand begint met een GUID met daar achter de tekst “or”, “ro” of “of” (bijvoorbeeld: 9b432b63-2446-f55d-4997-88f977d7047275bdor.js).
Binnen de campagne communiceert het JavaScript-bestand met verschillende C2-domeinen waaronder y2iax5[.]com, 5b7crp[.]com en mka3e8[.]com.
Het JavaScript-bestand installeert ManualFinder met msiexec. ManualFinder kan gebruikt worden om handleidingen op het internet op te zoeken, maar bevat ook proxy functionaliteiten.
Betreffende malware samples bleken ondertekend te zijn met certificaten uitgegeven door "GLINT SOFTWARE SDN. BHD", “ECHO INFINI SDN. BHD.” en “Summit Nexus Holdings LLC” (1) Of deze bedrijven direct gelinkt zijn aan de malwarecampagne, of dat kwaadwillende actoren gebruik hebben weten te maken van een certificaat op hun naam, is op dit moment nog onbekend
Op dit moment lijkt de start van de infectieketen te liggen bij malafide advertenties, die zich voordoen als een PDF-handleiding waarnaar door de gebruiker gezocht wordt. Bovendien wordt er gebruik gemaakt van het gemak die gratis PDF-editors met zich mee brengen: in ruil voor gratis diensten worden IP-adressen gebruikt in residential proxy netwerken. Het is op dit moment niet duidelijk of in alle gevallen residential proxy software gedownload wordt wanneer deze tools worden geïnstalleerd.. Ook is er door onderzoekers gezien dat in sommige gevallen de software interacteert met gegevens in de browser. De mate van interactie en mogelijke toegang tot andere aspecten van de browser wordt op dit moment onderzocht.
Er lijkt een verband te zijn met de OneStart Browser. Deze tool wordt vaak in bundeling meegeleverd met andere software, maar wordt door diverse AntiVirus-vendors omschreven als een Potentially Unwanted Application (PUA). OneStart wordt vaker in verband gebracht met de verspreiding en installatie van SpyWare en AdWare.
Het lijkt erop dat er een hoog aantal infecties heeft kunnen plaatsvinden, omdat er op grote schaal advertenties te zien waren. Wanneer er op de advertentie werd geklikt werd de malware gedownload op het apparaat. Het was dus gemakkelijk om geïnfecteerd te worden door deze campagne.
Op dit moment lijkt de campagne stil te liggen en zijn er nagenoeg geen nieuwe activiteiten meer waargenomen.
Zoek naar aanwijzingen van onderstaande certificaatafgevers binnen je omgeving. (2)
Verwijder software die is ondertekend door de genoemde certificaatafgevers van je systemen.
Onderzoek geplande taken (scheduled tasks) die JavaScript uitvoeren met NodeJs (node.exe) en verwijder deze.
Microsoft detecteert de malware als Trojan:Win32/Malgent!MSR of Trojan:Win64/InfoStealer!MSR
Controleer je omgeving op aanwijzingen die overeenkomen met de meegeleverde IOCs (Indicators of Compromise).
Blokkeer de gerelateerde bestanden via je EDR-oplossing.
Blokkeer de domeinen die in gebruik zijn in deze casus (zie de uitklapper hieronder voor de desbetreffende domeinen).
