Nieuwe malwarecampagne ontdekt via ManualFinder
Ogenschijnlijk onschuldige tools om handleidingen te zoeken genaamd “manualfinder” alsmede applicaties voor het kunnen bewerken van PDF-bestanden, vaak vindbaar hoog in zoekresultaten of verspreid door internetadvertenties, bleken pas na installatie malware-gedragingen te vertonen.
Situatie
Tools en applicaties voor het downloaden van handleidingen en het kunnen bewerken van PDF bestanden bleken veelvoudig geinstalleerd te worden door gebruikers op Windows systemen. Toen na verloop van tijd malware activiteit werd gedetecteerd afkomstig van deze softwareapplicaties, zorgde dit voor een groot aantal alerteringen bij SOCs en cybersecuritybedrijven wereldwijd.
Deze malware zorgt ervoor dat het systeem van het slachtoffer misbruikt kan worden als zogenaamde ‘residential proxy’ door kwaadwillenden, die op deze manier hun activiteiten kunnen maskeren en doen laten overkomen alsof het slachtoffer de kwaadwillende acties uitvoert.
- Website GBHackers postte op 21 Augustus over de ontdekking van een complexe campagne waarbij een kwaadwillende actor software installeert op gecompromitteerde machines. Deze machines worden daarna residential proxies en kunnen ingezet worden voor malafide handelingen en digitale aanvallen.
- De malware, vermomd zich als een legitieme PDF editor, creëert na installatie een geplande taak (sys_component_health_) die dagelijks een JavaScript-bestand uitvoert met node.exe.
- De bestandsnaam van het JavaScript-bestand begint met een GUID met daar achter de tekst “or”, “ro” of “of” (bijvoorbeeld: 9b432b63-2446-f55d-4997-88f977d7047275bdor.js).
- Binnen de campagne communiceert het JavaScript-bestand met verschillende C2-domeinen waaronder y2iax5[.]com, 5b7crp[.]com en mka3e8[.]com.
- Het JavaScript-bestand installeert ManualFinder met msiexec. ManualFinder kan gebruikt worden om handleidingen op het internet op te zoeken, maar bevat ook proxy functionaliteiten.
- Betreffende malware samples bleken ondertekend te zijn met certificaten uitgegeven door "GLINT SOFTWARE SDN. BHD", “ECHO INFINI SDN. BHD.” en “Summit Nexus Holdings LLC” (1) Of deze bedrijven direct gelinkt zijn aan de malwarecampagne, of dat kwaadwillende actoren gebruik hebben weten te maken van een certificaat op hun naam, is op dit moment nog onbekend
Duiding
- Op dit moment lijkt de start van de infectieketen te liggen bij malafide advertenties, die zich voordoen als een PDF-handleiding waarnaar door de gebruiker gezocht wordt. Bovendien wordt er gebruik gemaakt van het gemak die gratis PDF-editors met zich mee brengen: in ruil voor gratis diensten worden IP-adressen gebruikt in residential proxy netwerken. Het is op dit moment niet duidelijk of in alle gevallen residential proxy software gedownload wordt wanneer deze tools worden geinstalleerd.. Ook is er door onderzoekers gezien dat in sommige gevallen de software interacteert met gegevens in de browser. De mate van interactie en mogelijke toegang tot andere aspecten van de browser wordt op dit moment onderzocht.
- Er lijkt een verband te zijn met de OneStart Browser. Deze tool wordt vaak in bundeling meegeleverd met andere software, maar wordt door diverse AntiVirus-vendors omschreven als een Potentially Unwanted Application (PUA). OneStart wordt vaker in verband gebracht met de verspreiding en installatie van SpyWare en AdWare.
- Het lijkt erop dat er een hoog aantal infecties heeft kunnen plaatsvinden, omdat er op grote schaal advertenties te zien waren. Wanneer er op de advertentie werd geklikt werd de malware gedownload op het apparaat. Het was dus gemakkelijk om geïnfecteerd te worden door deze campagne.
- Op dit moment lijkt de campagne stil te liggen en zijn er nagenoeg geen nieuwe activiteiten meer waargenomen.
Handelingsperspectief
- Zoek naar aanwijzingen van onderstaande certificaatafgevers binnen je omgeving. (2)
- Verwijder software die is ondertekend door de genoemde certificaatafgevers van je systemen.
- Onderzoek geplande taken (scheduled tasks) die JavaScript uitvoeren met NodeJs (node.exe) en verwijder deze.
- Microsoft detecteert de malware als Trojan:Win32/Malgent!MSR of Trojan:Win64/InfoStealer!MSR
- Controleer je omgeving op aanwijzingen die overeenkomen met de meegeleverde IOCs (Indicators of Compromise).
- Blokkeer de gerelateerde bestanden via je EDR-oplossing.
- Blokkeer de domeinen die in gebruik zijn in deze casus (zie de uitklapper hieronder voor de desbetreffende domeinen).
- allpdflive.com
- apdft.com
- appsuites.ai
- businesspdf.com
- convertpdfplus.com
- easyonestartpdf.com
- easypdfbox.com
- fastonestartpdf.com
- fullpdf.com
- getonestart.co
- getonestartpdf.com
- getpdfonestart.com
- getsmartpdf.com
- gopdfhub.com
- gopdfmanuals.com
- itpdf.com
- justpdflab.com
- manualsbyonestart.com
- mypdfonestart.com
- onestartbrowser.com
- onestartpdfdirect.com
- pdf-central.com
- pdf-kiosk.com
- pdfadmin.com
- pdfappsuite.com
- pdfartisan.com
- pdfdoccentral.com
- pdfeditorplus.com
- pdfmeta.com
- pdfonestart.com
- pdfonestarthub.com
- pdfonestartlive.com
- pdfonestarttoday.com
- pdforsmartminds.com
- pdfreplace.com
- printwithonestart.com
- proonestarthub.com
- proonestartpdf.com
- quickfastpdf.com
- quickpdfmanuals.com
- smarteasypdf.com
- smartmanualspdf.com
- smartonestartpdf.com
- smartviewpdf.com
- thepdfbox.com
- PDF Editor.exe cb15e1ec1a472631c53378d54f2043ba57586e3a28329c9dbf40cb69d7c10d2c
- PDFEditorSetup.exe da3c6ec20a006ec4b289a90488f824f0f72098a2f5c2d3f37d7a2d4a83b344a0
- AppSuite-PDF.msi fde67ba523b2c1e517d679ad4eaf87925c6bbf2f171b9212462dc9a855faa34b
- ConvertMate.exe e0db7b5eaf92feff220c805b0e5f3d8916e18d51
- Convert Mate.exe d9f9584f4f071be9c5cf418cae91423c51d53ecf9924ed39b42028d1314a2edc
- conmate_update.ps1 372d89d7dd45b2120f45705a4aa331dfff813a4be642971422e470eb725c4646
- Uninstaller.exe e95de8452d32b439e0286868ed16f63943af3bc059dca6bcb48d1cbe2431440e
- UpdateRetreiver.exe 6bf2cc4e9d9901541214d7efc8bb8bb24ef5bddc238598333c843e421c042c6b
- ManualFinder-V2.0.196.msi ed797beb927738d68378cd718ea0dc74e605df0e66bd5670f557217720fb2871
- ManualFinderApp.exe 71edb9f9f757616fe62a49f2d5b55441f91618904517337abd9d0725b07c2a51
Name Echo Infini Sdn. Bhd. Status Trust for this certificate or one of the certificates in the certificate chain has been revoked. Issuer GlobalSign GCC R45 EV CodeSigning CA 2020 Valid From 06:38 AM 12/09/2024 Valid To 06:38 AM 12/10/2026 Valid Usage Code Signing Algorithm sha256RSA Thumbprint A2278EB6A438DC528F3EBFEB238028C474401BEF Serial Number 58 2C 3A 4B 99 34 B7 EC 10 28 B6 38
Name GLINT SOFTWARE SDN. BHD. Status Trust for this certificate or one of the certificates in the certificate chain has been revoked. Issuer SSL.com EV Code Signing Intermediate CA RSA R3 Valid From 01:06 PM 04/24/2025 Valid To 07:30 AM 04/24/2026 Valid Usage Code Signing Algorithm sha256RSA Thumbprint 99201EEE9807D24851026A8E8884E4C40245FAC7 Serial Number 28 C7 E6 60 12 DA B0 5A 4A 95 3D 88 F1 85 ED 2C
- Stealthy Ad-Based Malware Campaign Targets Windows Users via PUPs] (https://cyberpress.org/ad-based-malware/)
- https://expel.com/blog/you-dont-find-manualfinder-manualfinder-finds-you/