Pas på SEO kampagne der lokker med alternativ til Adobe PDF reader

IT-kriminelle har igangsat en omfattende blackhat SEO kampagne som anvender PDF som lokkemad. Søgninger på f.eks. "PDF reader" videredirigeres til dedikerede websider, hvorfra et alternativ til Adobe PDF reader tilbydes. 

OBS! Jeg ser høj aktivitet af trafik mod disse domæner fra Danmark via SIE-Europe pDNS telemetry.

Pakken (MSI), som ofret skal installere er digitalt signeret af enten: "GLINT SOFTWARE SDN. BHD" eller "ECHO INFINI SDN. BHD". 

Pakkerne der tilbydes kan f.eks. hedde: "AppSuites-PDF-1.0.31.0.msi", "AppSuites-PDF-1.0.25.0.msi" og " AppSuite-PDF.zip". 

Hvis denne installationspakke installeres så afvikles koden ved at spawne MSIexec:

msiexec.exe /I C:\Users\Admin\AppData\Local\Temp\AppSuites-PDF-1.0.31.0.msi

Pakken vil igangsætte af den skadelige kode via (saniteret)

inst.productivity-tools[.]ai

GET /status/InstallStart?v=1.0.31.0&p=PDFEditor&code=EN-US HTTP/1.1

Blandt de websider, hvorfra den skadelige pakke tilbydes finder vi (sanitet)

appsuites[.]ai
mka3e8[.]com
pdfartisan[.]com
pdfmeta[.]com
pdfreplace[.]com
y2iax5[.]com

Pakken er ½grundlæggende en password tyv som høster data der sendes til en C&C server med henblik på yderligere misbrug og potentiel lateral bevægelse samt download af supplerende komponenter.     

Se diagram over relationer til de skadelige "TamperedChef" pakker og ledsager malware.

Alle domænerne er gemt bag Cloudflare. Domænerne kan med fordel blokeres.