Talloze Windows-machines in Zuid-Korea zijn het doelwit geweest van een botnet dat werd gevolgd als PseudoManuscrypt sinds ten minste mei 2021 door gebruik te maken van dezelfde leveringstactieken van een andere malware genaamd CryptBot.
“PseudoManuscrypt is vermomd als een installatieprogramma dat lijkt op een vorm van CryptBoten wordt gedistribueerd”, het Zuid-Koreaanse cyberbeveiligingsbedrijf AhnLab Security Emergency Response Center (ASEC) zei in een vandaag gepubliceerd rapport.
“Niet alleen is de bestandsvorm vergelijkbaar met CryptBot, maar het wordt ook verspreid via kwaadaardige sites die worden weergegeven op de bovenste zoekpagina wanneer gebruikers zoeken naar commerciële software-gerelateerde illegale programma’s zoals Crack en Keygen”, voegde het eraan toe.
Volgens ASEC worden dagelijks gemiddeld zo’n 30 computers in het land constant geïnfecteerd.
PseudoManuscrypt werd voor het eerst gedocumenteerd door het Russische cyberbeveiligingsbedrijf Kaspersky in december 2021, toen het details openbaarde van een “massale spyware-aanvalcampagne” die meer dan 35.000 computers in 195 landen wereldwijd infecteerde.
Het doelwit van PseudoManuscrypt-aanvallen, die het oorspronkelijk in juni 2021 ontdekte, omvatte een aanzienlijk aantal industriële en overheidsorganisaties, waaronder ondernemingen in het militair-industriële complex en onderzoekslaboratoria in onder meer Rusland, India en Brazilië.
De belangrijkste payload-module is uitgerust met uitgebreide en gevarieerde spionagefunctionaliteit die de aanvallers vrijwel volledige controle over het geïnfecteerde systeem geeft. Het omvat het stelen van VPN-verbindingsdetails, het opnemen van audio met de microfoon en het vastleggen van de inhoud van het klembord en de gebeurtenislogboekgegevens van het besturingssysteem.
Bovendien kan PseudoManuscrypt toegang krijgen tot een externe command-and-control-server onder controle van de aanvaller om verschillende snode activiteiten uit te voeren, zoals het downloaden van bestanden, het uitvoeren van willekeurige opdrachten, het loggen van toetsaanslagen en het maken van screenshots en video’s van het scherm.
“Aangezien deze malware is vermomd als een illegaal software-installatieprogramma en wordt verspreid onder willekeurige personen via kwaadwillende sites, moeten gebruikers oppassen dat ze geen relevante programma’s downloaden”, aldus de onderzoekers. “Omdat kwaadaardige bestanden ook kunnen worden geregistreerd voor service en continu kwaadaardig gedrag kunnen uitvoeren zonder dat de gebruiker het weet, is periodiek pc-onderhoud noodzakelijk.”
