Аналитический центр AhnLab Security (ASEC) обнаружил распространение вредоносного программного обеспечения, представленного в виде программы установки Adobe Reader. Пользователям предлагают загрузить файл в формате PDF, который, сообщая им о необходимости Adobe Reader для его открытия, приводит к загрузке и установке вредоносной программы.
Загруженный файл имеет вид значка Adobe Reader и название Reader_Install_Setup.exe, но на самом деле содержит вредоносное ПО. Атака происходит в несколько этапов: создание файла, перехват DLL и обход контроля учетных записей пользователей (UAC), а также утечка информации. Вредоносные файлы собирают информацию о компьютере и связываются с заранее определенными серверами C2.
Indicators of Compromise
URLs
- https://blamefade.com.br/
- https://thinkforce.com.br/
MD5
- 02b96e2079bbc151222bb5bd10a4be9d
- 0eebfc748bc887a6ef5bade20ef9ca6b
- 84526c50bc14838ddd97657db7c760ca
- b24441f5249d173015dd0547d1654c6a
