Rapporter om pågående kampanj med skadlig kod i PDF-verktyg

CERT-SE har fått information om att flera svenska verksamheter har drabbats av en pågående kampanj med skadlig kod som döljs i ett PDF-verktyg. Verktyget distribueras primärt via så kallad “malvertising” via Google Ads. Målet är att få användare att ladda ned en skadlig fil av typ .MSI.

Den skadliga koden har initialt varit svårupptäckt av såväl antivirusprogram och klientbaserade sensorer.

Rekommendationer

Verksamheter med större Windows-miljöer rekommenderas att ta del av existerande IOC:er [1, 2] för att förhindra skada och fortsatt spridning.

Få stöd från CERT-SE

Kontakta oss på cert@cert.se eller 010-240 40 40 för att få stöd om ni är drabbade. CERT-SE tar gärna emot tekniska data och underlag från verksamheter som drabbats.

Källor

[1] https://undercodetesting.com/the-tamperedchef-trojan-how-a-simple-pdf-editor-can-pwn-your-entire-network/
[2] https://gbhackers.com/threat-actors-weaponize-pdf-editor-trojan/