De Sinistere Vermomming: Een Malware Vermomd als een PDF Editor
In het uitgestrekte digitale landschap van het internet blijft malware een aanzienlijke bedreiging voor onze online veiligheid. Een dergelijk kwaadaardig entiteit is ontdekt die zich voordoet als een legitieme PDF-editor, maar in werkelijkheid een kwaadaardige keylogger op nietsvermoedende systemen aflevert. Deze kwaadwillende actor dringt niet alleen je privacy binnen door je toetsaanslagen vast te leggen, maar vormt ook een ernstig risico voor je gevoelige persoonlijke en financiële informatie.
Het Gevaar Ontwarren: Een Forensisch Onderzoek met behulp van Virtuele Machines en Reverse Engineering Tools
Om deze kwaadaardige software grondig te onderzoeken, hebben we gebruik gemaakt van virtuele machines en reverse engineering tools. Virtuele machines boden een veilige omgeving om de malware uit te voeren en te bestuderen, terwijl reverse engineering tools ons hielpen om de interne werking van dit kwaadaardige programma te ontcijferen. Dit rigoureuze proces stelde ons in staat om de verspreidingsmethoden en de communicatie met command-and-control servers te begrijpen.
Het Detecteren en Beperken van de Schade: Een Lijst van IOCs
In het licht van onze bevindingen hebben we een lijst samengesteld van Indicator of Compromise (IOCs) om te helpen bij het detecteren en beperken van gecompromitteerde systemen. Deze IOCs variëren van IP-adressen die geassocieerd zijn met de command-and-control servers, hashes van de malwarebestanden, verdachte registerkeys, tot abnormale patronen in netwerkverkeer. Om deze IOCs te controleren, scan je systeem regelmatig met bijgewerkte antivirussoftware, monitor je netwerkverkeer en gebruik je intrusion detection systemen. Blijf waakzaam, blijf veilig.
URL’s:
https://www.searchpoweronline.com/privacy
https://www.searchpoweronline.com/eula
https://www.searchpoweronline.com
https://www.searchpoweronline.com/uninstall
https://www.pdfconverterpower.net/eula
https://www.pdfconverterpower.net/privacy
https://www.pdfconverterpower.net/thankyou?tyid=
https://use.pdfconverterpower.net/
zulu-im-01.dressnob.com
167.99.105.92
Discovery URL:
https://www.google-analytics.com/collect
Files modified / added:
C:\\Users\\<user>\\AppData\\Local\\Temp\\PdfPowerB2C\\favicon.ico
C:\\Users\\<user>\\Desktop\\PDFPower.lnk
C:\\Users\\<user>\\AppData\\Local\\Temp\\PdfPowerB2C
C:\\Users\\<user>\\AppData\\Local\\Microsoft\\CLR_v4.0_32\\UsageLogs\\PDFpower.exe.log
C:\\Windows\\Prefetch\\PDFPOWER.EXE-D759D20D.pf
C:\\Users\\<user>\\AppData\\Local\\Temp\\PdfPowerB2C\\installing.gif
Registry keys marked by tools:
“HKEY_LOCAL_MACHINE\\SOFTWARE\\WOW6432Node\\Microsoft\\Tracing\\PDFpower_RASMANCS\\FileDirectory”: {
“added”: “%windir%\\tracing”
},
“HKEY_LOCAL_MACHINE\\SOFTWARE\\WOW6432Node\\Microsoft\\Tracing\\PDFpower_RASAPI32\\FileTracingMask”: {
“added”: 4294901760
},
“HKEY_LOCAL_MACHINE\\SOFTWARE\\WOW6432Node\\Microsoft\\Tracing\\PDFpower_RASMANCS\\EnableConsoleTracing”: {
“added”: 0
},
“HKEY_LOCAL_MACHINE\\SOFTWARE\\WOW6432Node\\Microsoft\\Tracing\\PDFpower_RASMANCS\\ConsoleTracingMask”: {
“added”: 4294901760
},
“HKEY_LOCAL_MACHINE\\SOFTWARE\\WOW6432Node\\Microsoft\\Tracing\\PDFpower_RASMANCS\\EnableFileTracing”: {
“added”: 0
},
“HKEY_LOCAL_MACHINE\\SOFTWARE\\WOW6432Node\\Microsoft\\Tracing\\PDFpower_RASAPI32\\EnableAutoFileTracing”: {
“added”: 0
},
“HKEY_LOCAL_MACHINE\\SOFTWARE\\WOW6432Node\\Microsoft\\Tracing\\PDFpower_RASMANCS\\MaxFileSize”: {
“added”: 1048576
},
“HKEY_LOCAL_MACHINE\\SOFTWARE\\WOW6432Node\\Microsoft\\Tracing\\PDFpower_RASMANCS\\EnableAutoFileTracing”: {
“added”: 0
},
“HKEY_LOCAL_MACHINE\\SOFTWARE\\WOW6432Node\\Microsoft\\Tracing\\PDFpower_RASMANCS\\FileTracingMask”: {
“added”: 4294901760
},
“HKEY_LOCAL_MACHINE\\SOFTWARE\\WOW6432Node\\Microsoft\\Tracing\\PDFpower_RASAPI32\\FileDirectory”: {
“added”: “%windir%\\tracing”
},
“HKEY_LOCAL_MACHINE\\SOFTWARE\\WOW6432Node\\Microsoft\\Tracing\\PDFpower_RASAPI32\\MaxFileSize”: {
“added”: 1048576
},
“HKEY_LOCAL_MACHINE\\SOFTWARE\\WOW6432Node\\Microsoft\\Tracing\\PDFpower_RASAPI32\\EnableFileTracing”: {
“added”: 0
},
“HKEY_LOCAL_MACHINE\\SOFTWARE\\WOW6432Node\\Microsoft\\Tracing\\PDFpower_RASAPI32\\EnableConsoleTracing”: {
“added”: 0
},
“HKEY_LOCAL_MACHINE\\SOFTWARE\\WOW6432Node\\Microsoft\\Tracing\\PDFpower_RASAPI32\\ConsoleTracingMask”: {
“added”: 4294901760
},
“HKEY_USERS\\S-1-5-21-906201310-1716023726-2132270258-1001\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\AppCompatFlags\\Compatibility Assistant\\Store\\C:\\Users\\MalwareChecker\\Desktop\\PDFpower.exe”: {
“added”: “SACP\u0001\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0007\u0000\u0000\u0000(\u0000\u0000\u0000\u0010\u0000:\u0010\u0000\u0001\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\ne\”\u0000\u0000Pd\u076c\u0001\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0002\u0000\u0000\u0000(\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000\u0000Tb\u0000\u0000\u0000\u0000\u0000\u0000\u0001\u0000\u0000\u0000\u0001\u0000\u0000\u0000”
},
“HKEY_USERS\\S-1-5-21-906201310-1716023726-2132270258-1001\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Notifications\\QuietHours\\FullScreenProcess”: {
“added”: “PDFpower.exe”
},
Fout: Contact formulier niet gevonden.