Voici déjà 30 ans qu’Adobe prend toute la place sur le marché de la gestion des PDF. L’entreprise a su perfectionner au fil des ans cet outil qu’elle a créé, notamment avec son lecteur Acrobat. Avec sa petite phrase « Ce document nécessite l’exécution d’Adobe Acrobat Reader pour être consulté, cliquez ici pour le télécharger » présente sur la plupart des sites web proposant la lecture de document dans ce format, la firme de San José a littéralement conquis Internet.
Mais chaque gloire a sa rançon, et c’est ce que les chercheurs de Fortinet et d’ASEC ont prouvé en découvrant entre janvier et avril 2024 qu’un malware, baptisé « Byakugan », était dissimulé dans un faux fichier PDF incitant les victimes qui le recevaient à cliquer sur un lien vérolé pour le lire. Simple, basique, mais ravageur.
Byakugan a été découvert pour la première fois en janvier 2024 par FortiGuard Labs. Les chercheurs ont trouvé un fichier PDF en portugais qui distribuait le malware. Celui-ci contenait un tableau flou et des instructions invitant les victimes à cliquer sur un lien malveillant pour afficher le contenu. Une fois le lien cliqué, le téléchargeur dépose un fichier intitulé require.exe, qui est sa copie. Ensuite, un programme d’installation propre est téléchargé dans le dossier temporaire, suivi d’une DLL, qui est exécutée grâce à un détournement de DLL pour exécuter require.exe afin de télécharger le module principal.
Le téléchargeur, nommé « require.exe » et situé dans le dossier temporaire, exécute la copie, et non Reader_Install_Setup.exe, et présente un comportement différent dans les deux fichiers. Le module principal de Byakugan est téléchargé depuis thinkforce.com, un serveur C2 qui peut également servir de panneau de contrôle à un attaquant, avec une page de connexion sur le port 8080.
Byakugan est un malware qui repose sur node.js, qui utilise OBS Studio pour surveiller le bureau de la cible et exécuter diverses fonctions. Il dispose de plusieurs bibliothèques, notamment un moniteur d’écran, un mineur, un enregistreur de frappe, une manipulation de fichiers et un voleur d’informations sur le navigateur.
De plus, Byakugan peut choisir entre le minage avec CPU ou GPU pour éviter la surcharge du système et les téléchargements de mineurs populaires comme Xmrig, t-rex et NBMiner. Il stocke également des données dans le dossier kl et peut voler des informations sur « les cookies, les cartes de crédit, les téléchargements et les profils remplis automatiquement », ont écrit les chercheurs.
Mais ce n’est pas la première fois qu’Adobe est la cible des hackers. Le AhnLab Security intelligence Center (ASEC) a également découvert un infostealer déguisé en programme d’installation d’Adobe Reader dans un faux fichier PDF en portugais. Celui-ci invitait les utilisateurs à télécharger Adobe Reader, ce qui a conduit à l’exécution d’un fichier malveillant Reader_Install_Setup.exe.
Il crée également deux fichiers malveillants et exécute un fichier système Windows, msdt.exe en tant qu’administrateur, chargeant le BluetoothDiagnosticUtil.dll malveillant et chargeant le fichier DLL malveillant. L’acteur malveillant peut contourner le contrôle de compte d’utilisateur (UAC) grâce au piratage de DLL.
Clubic, à l’instar des chercheurs en cybersécurité à l’origine de la découverte de Byakugan, vous recommande la plus grande vigilance quant aux pièces jointes que vous recevez et qui vous invitent à télécharger un logiciel ou une appli. Un red flag utile qui devrait vous alerter : si vous possédez déjà cet outil, alors il s’agit sans doute d’une tentative de phishing. Et pour tout le reste, Clubic met à votre disposition ses conseils pour vous protéger des malwares et autres ransomwares.
Sources : HackRead, Fortinet, ASEC
