通过ManualFinder传播的新型恶意软件活动技术分析

新型恶意软件活动通过ManualFinder被发现

情况概述

近期发现全球范围内Windows计算机遭受恶意软件感染，感染源为用户自行安装的软件。NCSC建议阻止相关C2域名的访问，检查是否存在"ManualFinder"、“PDF-editor"及其变体应用程序，检查/AppData/Local/TEMP目录中是否存在类似GUID命名的JavaScript文件，并强烈建议最终用户不要安装外部不受信任的工具。

表面上用于搜索手册的无害工具"manualfinder"以及用于编辑PDF文件的应用程序，通常出现在搜索结果前列或通过互联网广告传播，在安装后才会表现出恶意行为。

感染情况

用户在Windows系统上大量安装用于下载手册和编辑PDF文件的工具和应用程序。随着时间的推移，从这些软件应用程序检测到恶意软件活动，导致全球SOC和网络安全公司收到大量警报。

这种恶意软件使得受害者的系统被恶意行为者滥用作所谓的"住宅代理”，从而掩盖他们的活动，使其看起来像是受害者在执行恶意操作。

技术细节

网站GBHackers于8月21日发布关于发现复杂活动的信息，涉及恶意行为者在受感染机器上安装软件。这些机器随后成为住宅代理，可用于恶意行为和数字攻击。

该恶意软件伪装成合法的PDF编辑器，安装后创建一个计划任务（sys_component_health_），每天使用node.exe执行JavaScript文件。

JavaScript文件的文件名以GUID开头，后面跟着"or"、“ro"或"of"文本（例如：9b432b63-2446-f55d-4997-88f977d7047275bdor.js）。

在活动过程中，JavaScript文件与多个C2域名通信，包括y2iax5[.]com、5b7crp[.]com和mka3e8[.]com。

JavaScript文件使用msiexec安装ManualFinder。ManualFinder可用于在互联网上搜索手册，但也包含代理功能。

相关恶意软件样本被发现使用由"GLINT SOFTWARE SDN. BHD”、“ECHO INFINI SDN. BHD.“和"Summit Nexus Holdings LLC"颁发的证书进行签名。目前尚不清楚这些公司是否直接与恶意软件活动相关联，或者恶意行为者是否使用了以其名义颁发的证书。

感染链分析

目前感染链的起点似乎是恶意广告，这些广告伪装成用户搜索的PDF手册。此外，还利用了免费PDF编辑器带来的便利：作为免费服务的交换，IP地址被用于住宅代理网络。目前尚不清楚在安装这些工具时是否在所有情况下都会下载住宅代理软件。研究人员还发现，在某些情况下，该软件会与浏览器中的数据交互。交互程度以及对浏览器其他方面的可能访问权限目前正在调查中。

似乎与OneStart浏览器存在关联。该工具通常与其他软件捆绑提供，但被多个防病毒供应商描述为潜在不受欢迎的应用程序（PUA）。OneStart经常与间谍软件和广告软件的传播和安装相关联。

由于大规模显示广告，似乎发生了大量感染。点击广告后，恶意软件就会下载到设备上。因此很容易被此活动感染。

目前该活动似乎已经停止，几乎没有观察到新的活动。

应对措施

在环境中搜索以下证书颁发者的迹象
从系统中删除由上述证书颁发者签名的软件
调查使用NodeJs（node.exe）执行JavaScript的计划任务并删除它们
Microsoft将恶意软件检测为Trojan:Win32/Malgent!MSR或Trojan:Win64/InfoStealer!MSR
检查环境中是否存在与提供的IOC（入侵指标）相符的迹象
通过EDR解决方案阻止相关文件
阻止此案例中使用的域名

需阻止的域名

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45


allpdflive.com
apdft.com
appsuites.ai
businesspdf.com
convertpdfplus.com
easyonestartpdf.com
easypdfbox.com
fastonestartpdf.com
fullpdf.com
getonestart.co
getonestartpdf.com
getpdfonestart.com
getsmartpdf.com
gopdfhub.com
gopdfmanuals.com
itpdf.com
justpdflab.com
manualsbyonestart.com
mypdfonestart.com
onestartbrowser.com
onestartpdfdirect.com
pdf-central.com
pdf-kiosk.com
pdfadmin.com
pdfappsuite.com
pdfartisan.com
pdfdoccentral.com
pdfeditorplus.com
pdfmeta.com
pdfonestart.com
pdfonestarthub.com
pdfonestartlive.com
pdfonestarttoday.com
pdforsmartminds.com
pdfreplace.com
printwithonestart.com
proonestarthub.com
proonestartpdf.com
quickfastpdf.com
quickpdfmanuals.com
smarteasypdf.com
smartmanualspdf.com
smartonestartpdf.com
smartviewpdf.com
thepdfbox.com

入侵指标（IOC）

文件哈希：

PDF Editor.exe: cb15e1ec1a472631c53378d54f2043ba57586e3a28329c9dbf40cb69d7c10d2c
PDFEditorSetup.exe: da3c6ec20a006ec4b289a90488f824f0f72098a2f5c2d3f37d7a2d4a83b344a0
AppSuite-PDF.msi: fde67ba523b2c1e517d679ad4eaf87925c6bbf2f171b9212462dc9a855faa34b
ConvertMate.exe: e0db7b5eaf92feff220c805b0e5f3d8916e18d51
Convert Mate.exe: d9f9584f4f071be9c5cf418cae91423c51d53ecf9924ed39b42028d1314a2edc
conmate_update.ps1: 372d89d7dd45b2120f45705a4aa331dfff813a4be642971422e470eb725c4646
Uninstaller.exe: e95de8452d32b439e0286868ed16f63943af3bc059dca6bcb48d1cbe2431440e
UpdateRetreiver.exe: 6bf2cc4e9d9901541214d7efc8bb8bb24ef5bddc238598333c843e421c042c6b
ManualFinder-V2.0.196.msi: ed797beb927738d68378cd718ea0dc74e605df0e66bd5670f557217720fb2871
ManualFinderApp.exe: 71edb9f9f757616fe62a49f2d5b55441f91618904517337abd9d0725b07c2a51

IOC证书信息

Echo Infini Sdn. Bhd.

状态：此证书或证书链中某个证书的信任已被撤销
颁发者：GlobalSign GCC R45 EV CodeSigning CA 2020
有效期从：2024年12月9日 06:38
有效期至：2026年12月10日 06:38
有效用途：代码签名
算法：sha256RSA
指纹：A2278EB6A438DC528F3EBFEB238028C474401BEF
序列号：58 2C 3A 4B 99 34 B7 EC 10 28 B6 38

GLINT SOFTWARE SDN. BHD.

状态：此证书或证书链中某个证书的信任已被撤销
颁发者：SSL.com EV Code Signing Intermediate CA RSA R3
有效期从：2025年4月24日 13:06
有效期至：2026年4月24日 07:30
有效用途：代码签名
算法：sha256RSA
指纹：99201EEE9807D24851026A8E8884E4C40245FAC7
序列号：28 C7 E6 60 12 DA B0 5A 4A 95 3D 88 F1 85 ED 2C

参考资料

Stealthy Ad-Based Malware Campaign Targets Windows Users via PUPs (https://cyberpress.org/ad-based-malware/)
https://expel.com/blog/you-dont-find-manualfinder-manualfinder-finds-you/