Instaladores falsos do Adobe Acrobat Reader estão sendo usados para distribuir um novo malware multifuncional chamado Byakugan. O ponto de partida do ataque é um arquivo PDF em português que, ao ser aberto, exibe uma imagem borrada e solicita que a vítima clique em um link para baixar o aplicativo Reader para visualizar o conteúdo.

Segundo os pesquisadores, ao clicar a URL redireciona à um instalador (“Reader_Install_Setup.exe”) que ativa a sequência de infecção. A cadeia de ataque aproveita técnicas como sequestro de DLL e bypass do Controle de Acesso do Usuário (UAC) do Windows para carregar um arquivo de biblioteca de link dinâmico (DLL) malicioso chamado “BluetoothDiagnosticUtil.dll”, que, por sua vez, desencadeia o payload final.

Ele também implanta um instalador legítimo para um leitor de PDF como o Wondershare PDFelement. O binário é equipado para coletar e exfiltrar metadados do sistema para um servidor de comando e controle (C2) e soltar o módulo principal (“chrome.exe”) de um servidor diferente que também atua como seu C2 para receber arquivos e comandos. Byakugan é um malware baseado em node.js embalado em seu executável pelo pkg.

Além do script principal, há várias bibliotecas correspondentes a recursos. Isso inclui configuração de persistência, monitoramento da área de trabalho da vítima usando o OBS Studio, captura de telas, download de mineradores de criptomoedas, registro de teclas digitadas, enumeração e upload de arquivos, e captura de dados armazenados em navegadores web.