PDFChampions: угонщик браузера с загрузчиком динамического кода

PDFChampions идентифицируется как угонщик браузера класса YAPA. Отчет подчеркивает, что он представляет существенные риски не только из‑за изменения настроек браузера, но и из‑за расширенных возможностей в качестве загрузчика кода, что делает его более опасным по сравнению с аналогами.

Краткое введение в проблему

Угонщик чаще всего распространяется через рекламные кампании и воздействует на настройки браузера, в частности — изменяет поисковую систему по умолчанию. Однако основная угроза PDFChampions заключается в его способности загружать, компилировать и выполнять динамический код непосредственно из памяти. Именно эта функциональность выделяет его среди подобных семей, таких как ConvertMaster и ConvertyFile.

Механизм распространения и сокрытия

  • Основной вектор распространения — реклама (malvertising), приводящая к установке или внедрению угонщика.
  • После проникновения PDFChampions изменяет поисковую систему браузера по умолчанию, закрепляя свое присутствие.
  • Для сокрытия своей активности угонщик использует манипуляции в процессе установки, которые препятствуют обнаружению пользователем и мешают анализу поведения.

Техника выполнения и отличия от аналогов

Отчет отмечает сходство технологий выполнения с теми, что применяются в ConvertMaster и ConvertyFile, но с важным отличием: PDFChampions показывает высокую эффективность как загрузчик динамического кода. _Особенно опасна способность_ загружать, компилировать и выполнять код в памяти, что затрудняет детекцию традиционными сигнатурными методами.

«Функциональность загрузчика вызывает особое беспокойство — доказательства ее работы видны в потоке выполнения кода, где определенные сегменты предназначены для управления процессами Firefox.»

Конкретный сценарий атаки

В отчете подробно описан один из сценариев: загрузчик выполняет команду fetch для извлечения сегмента с идентификатором «seof», затем компилирует полученные данные в ассемблерный код, после чего закрывает все активные экземпляры Firefox и выполняет дальнейшие команды. Такая последовательность позволяет угонщику вмешиваться в работу браузера и продолжать свою деятельность в фоновом режиме.

Последствия и оценка угрозы

Сложность механизма PDFChampions подчеркивает эволюционирующую природу угроз типа browser‑hijacker и усиливает опасения по поводу использования загрузчиков для распространения дополнительных вредоносных модулей. Угонщик умело маскирует свои действия за безобидными фасадами, одновременно осуществляя вредную деятельность, что повышает риск длительного и незаметного присутствия в системе.

Рекомендации по защите

  • Проверяйте и при необходимости сбрасывайте настройки поисковой системы и стартовой страницы в браузерах.
  • Осторожно относитесь к рекламе и подозрительным элементам на веб‑страницах (malvertising).
  • Обновляйте браузеры и сопутствующее ПО, применяйте современные средства защиты с эвристическим анализом.
  • Проводите регулярные проверки системой безопасности и при подозрениях — полное сканирование и анализ поведения процессов.

PDFChampions демонстрирует, что современные угонщики становятся не просто «перенастройщиками» браузера, а полноценными платформами для удаленного исполнения кода. Это требует повышенной бдительности со стороны пользователей и организаций, а также адаптации инструментов защиты к новым техникам выполнения.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: