Μια παραλλαγή του
Masslogger
Trojan
χρησιμοποιείται σε νέες
επιθέσεις
που στοχεύουν στην
κλοπή
credentials
χρηστών των
Microsoft
Outlook,
Google
Chrome
και
messenger
υπηρεσιών.
Ερευνητές από την
Cisco Talos
είπαν ότι οι
επιθέσεις
επί του παρόντος επικεντρώνονται σε θύματα στην
Τουρκία
, τη
Λετονία
και την
Ιταλία
. Η εκστρατεία με τη νέα παραλλαγή του Masslogger
Trojan
είχε ξεκινήσει από τα τέλη του 2020. Τότε, είχαν βρεθεί στο στόχαστρο των
hackers
, χρήστες από την
Ισπανία
, τη
Βουλγαρία
, τη
Λιθουανία
, την
Ουγγαρία
, την
Εσθονία
και τη
Ρουμανία
.
Το Masslogger
Trojan
εντοπίστηκε πρώτη φορά τον Απρίλιο του 2020. Ωστόσο, σύμφωνα με τους ερευνητές, η νέα παραλλαγή θεωρείται αρκετά “σημαντική” λόγω της χρήσης ενός
compiled HTML file format
για την ενεργοποίηση μιας “αλυσίδας μόλυνσης”.
Οι εγκληματίες πίσω από το
Trojan
ξεκινούν τις
επιθέσεις
τους με
phishing
emails
. Στην πρόσφατη εκστρατεία, τα
emails
αυτά περιέχουν ερωτήματα που σχετίζονται με επιχειρήσεις και έχουν συνημμένα αρχεία .
RAR
.
Εάν το θύμα ανοίξει το συνημμένο, θα γίνει διαχωρισμός σε multi-volume αρχεία με επέκταση “r00”, ένα χαρακτηριστικό που οι ερευνητές πιστεύουν ότι θα μπορούσε να είναι μια προσπάθεια “
παράκαμψης προγραμμάτων που θα αποκλείσουν [ένα] συνημμένο email με βάση την επέκταση αρχείου
“.
Στη συνέχεια εξάγεται ένα
compiled HTML file, το .CHM
– το προεπιλεγμένο format για νόμιμα
Windows
Help files – το οποίο
περιέχει ένα επιπλέον αρχείο HTML με ενσωματωμένο κώδικα JavaScript.
Σε κάθε στάδιο, ο κώδικας αποκρύπτεται και τελικά οδηγεί σε
ανάπτυξη ενός PowerShell
script
που περιέχει το Masslogger loader.
Η παραλλαγή του Masslogger
Trojan
, που είναι σχεδιασμένη για
υπολογιστές
Windows
και γραμμένη σε .NET, θα αρχίσει να κλέβει
credentials
. Το
trojan
στοχεύει τόσο οικιακούς χρήστες όσο και επιχειρήσεις,
αν και ο βασικός στόχος είναι οι επιχειρήσεις.
Αφού αποθηκευτεί στη μνήμη ως buffer, το κακόβουλο λογισμικό αρχίζει να συλλέγει τα
credentials
. Το Masslogger
Trojan
στοχεύει κυρίως
credentials
από
Microsoft
Outlook,
Google
Chrome
, Firefox, Edge, NordVPN, FileZilla και Thunderbird.
Οι κλεμμένες πληροφορίες μπορούν να σταλούν μέσω SMTP, FTP ή HTTP channels. Οι πληροφορίες που μεταφορτώνονται σε έναν exfiltration server περιλαμβάνουν το username του PC του χρήστη, το ID χώρας, το ID υπολογιστή και ένα timestamp, καθώς και αρχεία που σχετίζονται με τις επιλογές διαμόρφωσης και τις διαδικασίες που εκτελούνται.
Οι ερευνητές είπαν, ακόμα, ότι το Masslogger μπορεί να λειτουργήσει και ως
keylogger
, αλλά σε αυτήν την παραλλαγή, φαίνεται ότι η λειτουργία keylogging έχει απενεργοποιηθεί.
Η Cisco Talos πιστεύει ότι οι επιτιθέμενοι πίσω από το Masslogger
Trojan
συνδέονται με προηγούμενες
επιθέσεις
που χρησιμοποιούσαν τα
AgentTesla, Formbook
και
AsyncRAT Trojans
.
Πηγή: ZDNet
Related Posts
Πατήστ
ε
εδώ
και ακολουθήστε το
TechWar.gr στο Google News
για να μάθετε πρώτοι όλες τις
ειδήσεις τεχνολογίας.