SparkOnSoft, SparkleDocument, PDFSparkware o Sparklin Doc, è un malware che si trova in giro per il Web, principalmente si diffonde attraverso banner pubblicitari o popup che invitano a scaricare programmi a pagamento per la gestione e conversione dei file PDF. Ogni tanto cambiano nome ai file, o cambiano il certificato con cui lo firmano, il tutto per cercare di sfuggire alla rilevazione degli antivirus.
Da qualche tempo in azienda sono molti i problemi causati da un file eseguibile dal nome simile a questo SparkleDocument_******.exe, al posto degli asterischi ci sono dei numeri che cambiano sempre a ogni download. Il "zelante" antivirus aziendale rileva questi file exe come una minaccia bloccando il computer e obbligando il personale IT a formattarli.
Sono stati numerosi gli utenti che mi hanno detto, quando li contattavo per chiedere spiegazioni, di non aver mai scaricato niente (non ci credo), solo una stava cercando un convertitore di file PDF e allora ha provato a scaricarlo e l'antivirus ha bloccato tutto.
Gli eseguibili che sono riuscito a trovare io, erano in un sito di indovinelli italiano e li vedevo come pubblicità (mi ero dimenticato di aver disattivato l'adblocker installato nel browser). Nei computer aziendali non ci sono estensioni del genere a proteggere il browser, così tutti quelli che si trovano a casa per lavorare potrebbero vedere comparire dei messaggi del genere.
Se si clicca Download e poi Continue si avvia il download del file eseguibile.
I download provengono tutti da indirizzi simili a questo, si scaricano quindi dal sito ufficiale pdfsparkware.com del vero programma per la gestione dei PDF.
Il primo eseguibile è quello reale della Pdfsparkware, gli altri sono i file fasulli che fanno scattare l'antivirus aziendale. Windows Defender li blocca tutti, per poterli utilizzare li ho aggiunti alla lista delle esclusioni dell'antivirus.
Questa è l'analisi di VirusTotal del file originale, e già qui in molti segnalano dei problemi, questa invece è l'analisi del file modificato segnalato da pochi antivirus e non tutti molto famosi.
Installazione fasulla
Il file che si scarica avvia una normale installazione di un programma che si pensa essere PDF Spark. La prima sorpresa, che si nota solo se si leggono con molta attenzione le varie note, è che nel pacchetto viene inclusa anche l'installazione di OneBrowser senza però chiedere nessun permesso all'utente.
Si avvia l'installazione di PDF Spark o almeno così crediamo.
Seconda sorpresa, PDF Spark diventa Document Magic Setup, sempre un programma per la gestione e conversione dei PDF ma non quello che pensavamo di aver scaricato inizialmente.
Posso supporre che questo programmi possa cambiare a ogni nuova campagna pubblicitaria o a seconda del sito da cui è stato scaricato l'installer iniziale.
L'aspetto di Secure Doc Magic è questo, con 10 free magic conversion a solo 19.95 dollari.
Per OneBrowser non viene chiesto nessun permesso di installazione ed è un altro browser derivato da Chromium.
Questa è invece l'installazione del programma originale, prima si chiama Sparkling Doc.
Poi una volta installato diventa PDF Sparkle.
Persino l'icona del programma è la stessa.
Eseguo una analisi del computer con Malwarebytes e trova quindici problemi, compresi tutti i file di installazione. Ad un successivo controllo con HitmanPro non ottengo altre rilevazioni.
Conclusioni
Leggendo le numerose discussioni che si trovano nel web collegate a questo malware si vede come muta nel tempo, non troppi cambiamenti ma quello che basta per diffondersi nuovamente per qualche tempo in una nuova veste.
Quella analizzata nell'articolo vede l'installazione automatica di OneBrowser, certo uno può leggere le istruzioni che appaiono a schermo e fermarsi, ma non tutti lo fanno, l'avvio di installazione di un programma con un certo nome che poi cambia da solo, alcuni dei messaggi letti dicono anche di comportamenti strani del browser o di spese online non autorizzate.
Queste ultime cose non saranno magari direttamente collegate al nostro malware, ma qualcuno potrebbe avere distribuito dei file di installazione ancora più infetti e pericolosi approfittando di queste pseudo campagne pubblicitarie.
In ogni caso state alla larga e non utilizzate questo tipo di software.
