近期出现了一场针对寻求免费 PDF 编辑软件用户的复杂恶意软件攻击活动,网络犯罪分子伪装成合法软件 “AppSuite PDF 编辑器”,分发含有恶意程序的应用。
该恶意软件以微软安装程序(MSI 文件)格式封装,通过排名靠前的虚假网站传播 —— 这些网站伪装成正版办公工具下载门户,与此前发现的特洛伊木马分发网络(包括臭名昭著的 “JustAskJacky” 攻击活动)高度相似。
发起此次攻击活动的威胁行为者展现出了前所未有的嚣张态度:他们将恶意软件作为 “误报” 提交给杀毒软件公司,试图让安全检测机制取消对该恶意软件的拦截。
这款恶意应用最初被标记为 “潜在不受欢迎程序”,表面上提供正常的 PDF 编辑功能,实则隐藏着恶意本质。
该安装程序使用开源工具集 WiX 制作,用户执行安装程序并接受最终用户许可协议(EULA)后,它会立即从 “vault.appsuites.ai” 下载真正的 PDF 编辑器程序(用于伪装)。
G Data(安全公司)的研究人员将该恶意软件归类为 “经典特洛伊木马”,其包含一个复杂的后门组件。分析显示,该应用基于 Electron 框架开发 —— 这一框架允许通过 JavaScript 构建跨平台桌面应用。
研究人员指出,该恶意软件的下载量已相当可观:仅一周内,其遥测数据就记录到超过 2.8 万次下载尝试,可见此次攻击活动覆盖范围广,可能对全球用户造成重大影响。
该恶意软件通过一套复杂的命令行开关系统控制各类后门功能。若在无特定参数的情况下执行,应用会启动安装程序,将受感染系统注册到位于 “appsuites.ai” 和 “sdk.appsuites.ai” 的命令与控制(C2)服务器。
注册过程中,系统会获取唯一的安装 ID,并创建名为 “PDFEditorScheduledTask” 和 “PDFEditorUScheduledTask” 的持久化计划任务 —— 这些任务能确保恶意软件在受攻陷系统上持续运行。
AppSuite PDF 编辑器恶意软件最令人担忧的特点,在于其复杂的命令执行能力与持久化机制。
该恶意软件通过多个命令行开关触发内部称为 “wc 例程”(wc routines)的功能,包括 “–install”(安装)、“–ping”(连通测试)、“–check”(检查)、“–reboot”(重启)和 “–cleanup”(清理)等功能,每一项例程都旨在维持对系统的控制或实现远程操控。
该后门最危险的功能是:可通过服务器提供的命令模板,在受感染系统上执行任意命令。恶意软件会连接 “sdk.appsuites.ai/api/s3/options” 获取灵活的命令模板,威胁行为者可动态调整这些模板 —— 这种架构使攻击者能根据每个受攻陷系统的具体环境和安全状态,灵活调整攻击策略。
// 命令模板执行机制
hxxps://sdk.appsuites(dot)ai/api/s3/options
为实现持久化,恶意软件创建了多个计划任务,并精心设置了执行延迟。其中主计划任务会在安装完成后 1 天 0 小时 2 分钟执行 —— 这种设计专门用于规避自动沙箱检测系统(此类系统通常不会监控如此长的周期)。
此外,该恶意软件还针对多款主流浏览器发起攻击,包括 Wave、Shift、OneLaunch、Chrome(谷歌浏览器)和 Edge(微软 Edge 浏览器),通过提取浏览器加密密钥、篡改浏览器偏好设置,实现对用户数据和凭据的长期访问。
该恶意软件的通信协议采用 AES-128-CBC 和 AES-256-CBC 加密算法,与命令与控制服务器进行安全数据传输 —— 这一设计使传统安全解决方案通过网络检测该恶意软件的难度大幅提升。
红客联盟·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
