O variantă a troianului șterge credențialele de Microsoft Outlook și Google Chrome
O nouă versiune a troianului Masslogger vizează utilizatorii de Windows, utilizând acum un format de fișier HTML compilat (CHM) pentru a începe lanțul de infectare.
Infractorii cibernetici vizează utilizatorii Windows cu o nouă variantă a troianului Masslogger, care este un program spion conceput pentru a șterge credențialele victimelor din Microsoft Outlook, Google Chrome și diverse conturi de mesagerie instantanee.
Cercetătorii au descoperit la jumătatea lunii ianuarie o campanie care vizează utilizatorii din Italia, Letonia și Turcia. Când varianta Masslogger și-a lansat lanțul de infectaree, și-a mascat fișierele RAR rău intenționate ca fișiere HTML compilate (CHM). Aceasta este o nouă mișcare pentru Masslogger și ajută malware-ul să ocolească potențialele programe defensive, care altfel ar bloca atașamentul de e-mail pe baza extensiei sale de fișiere RAR, au spus cercetătorii miercuri.
„Utilizarea HTML compilat (de obicei utilizat pentru fișierele de ajutor Windows) poate fi avantajoasă pentru atacator, deoarece vectorul inițial de infectare este e-mailul”, a declarat Vanja Svajcer, cercetător de comunicare la Cisco Talos. „Multe organizații nu vor considera fișierele CHM drept executabile, deci este mai probabil să se sustragă filtrelor de conținut care filtrează mesajele de e-mail primite pe baza numelui sau tipului atașamentului.”
Masslogger este un program spyware scris în .NET și care fură credențialele de browser, e-mail și mesagerie instantanee. Troianul a fost lansat în aprilie și de atunci a fost vândut pe forumuri underground.
„Masslogger este un malware de vânzare care se află în dezvoltare și circulație de aproape un an”, a spus Svajcer. „Este vândut pe forumuri underground pentru o sumă relativ modestă de bani și poate fi folosit de orice actor rău intenționat. Am vrut să subliniem că aceste campanii cu aceste tehnici speciale de răspândire pot fi legate probabil de un singur actor, pe baza domeniului serverului de exfiltrare utilizat în toată campania pentru exfiltrarea acreditării.”
Lanțul de infecție Masslogger: e-mailuri de tip Spear-Phishing
Un exemplu de e-mail de tip spear-phishing care vizează victimele din Turcia. Credit: Cisco Talos
Cercetătorii au declarat că atacul recent a început cu mesaje de e-mail care conțineau subiecte „cu aspect legitim” legate de afaceri. Un e-mail, de exemplu, era intitulat „Domestic customer inquiry” și îi spunea destinatarului: „La cererea clientului nostru, vă rugăm să trimiteți cele mai bune cotații atașate”
Aceste e-mailuri conțineau atașamente RAR – totuși, de remarcat, în timp ce extensiile tipice de nume de fișier pentru fișierele RAR sunt .rar, atacatorii le-au ascuns în acest caz cu extensia de fișier .chm. Fișierele au fost denumite cu modelul „r00”, cu numărul crescând pe fișier în fiecare e-mail.
Formatul de fișier Compiled HTML (CHM) este utilizat pentru documentația de help – fișierele sunt compilate și salvate într-un format HTML comprimat. Acestea pot include text, imagini și hyperlinkuri. Fișierele CHM sunt utilizate de programele Windows ca soluție de ajutor online.
Această extensie a fișierului atașament este uneori aleasă pentru a ocoli „aplicațiile de blocare simple”, care încearcă să blocheze atașamentele RAR utilizând extensia implicită a fișierului „.rar”, a spus Svajcer. El a remarcat că WinRAR și alte dezarhivatoare ce știu să gestioneze fișiere RAR vor deschide în continuare fișiere CHM fără probleme.
Lanțul de infectare Masslogger. Credit: Cisco Talos
În acest caz, fișierele atașate conțin un fișier HTML încorporat cu cod JavaScript „ușor obscur”, care, odată deschis, pornește procesul de infectare activă.
După ce începe procesul de infectare activă, se execută un script PowerShell, care în cele din urmă se transformă într-un program de descărcare. Apoi, acesta descarcă și încarcă loader-ul principal PowerShell.
„Sarcina utilă principală este o variantă a troianului Masslogger concepută pentru a extrage și exfiltra credențialele utilizatorilor dintr-o varietate de surse, vizând utilizatorii casnici și de afaceri”, a spus Svajcer. „Masslogger poate fi configurat ca keylogger, dar în acest caz, actorul a dezactivat această funcționalitate.”
Credențialele Microsoft Outlook, Google Chrome sub atac
Misiunea Masslogger este de a viza și de a fura credențialele din următoarele aplicații: Pidgin (un client de mesagerie instantaneu multiplată gratuită și open-source), clientul FileZilla File Transfer Protocol (FTP), platforma de discuții de grup Discord, NordVPN, Outlook, FoxMail, Firefox, Thunderbird, QQ Browser și browsere bazate pe Chromium (Chrome, Chromium, Edge, Opera și Brave).
„Odată identificate credențialele pentru aplicațiile vizate, acestea sunt încărcate pe serverul de exfiltrare cu un nume de fișier care conține numele de utilizator, ID-ul țării din două litere, ID-ul unic al mașinii și marcajul de timp pentru momentul în care a fost creat fișierul”, a spus Svajcer.
Programele malware Masslogger continuă să evolueze
Locații vizate de Masslogger. Credit: Cisco Talos
Cercetătorii cred că actorul din spatele campaniei este implicat și în alte atacuri, care datează cel puțin din luna septembrie. Aceste campanii au vizat mai multe țări europene și și-au schimbat lunar focusul. De exemplu, cercetătorii au detectat mesaje de e-mail care vizează Bulgaria, Estonia, Ungaria, Italia, Letonia, Lituania, România, Spania și Turcia, precum și mesaje scrise în limba engleză.
Pe baza indicatorilor de compromis (IoC) pe care cercetătorii i-au recuperat, aceștia au spus că au „încredere moderată” că acest atacator a folosit anterior alte payload-uri, cum ar fi troianul AgentTesla și dropper-ul Formbook, în campanii începând din luna aprilie a anului trecut.
„Actorul folosește o abordare multi-modulară care începe cu e-mailul inițial de phishing și se duce până la sarcina utilă finală”, a spus Svajcer. „Adversarii din spatele acestei campanii probabil fac acest lucru pentru a se sustrage detectării. Dar poate fi și o slăbiciune, deoarece există o mulțime de oportunități pentru apărători de a rupe lanțul de atac.”
Sursa: Threatpost
