Μια παραλλαγή του Masslogger Trojan χρησιμοποιείται σε νέες επιθέσεις που στοχεύουν στην κλοπή credentials χρηστών των Microsoft Outlook, Google Chrome και messenger υπηρεσιών.
Ερευνητές από την Cisco Talos είπαν ότι οι επιθέσεις επί του παρόντος επικεντρώνονται σε θύματα στην Τουρκία, τη Λετονία και την Ιταλία. Η εκστρατεία με τη νέα παραλλαγή του Masslogger Trojan είχε ξεκινήσει από τα τέλη του 2020. Τότε, είχαν βρεθεί στο στόχαστρο των hackers, χρήστες από την Ισπανία, τη Βουλγαρία, τη Λιθουανία, την Ουγγαρία, την Εσθονία και τη Ρουμανία.
Το Masslogger Trojan εντοπίστηκε πρώτη φορά τον Απρίλιο του 2020. Ωστόσο, σύμφωνα με τους ερευνητές, η νέα παραλλαγή θεωρείται αρκετά “σημαντική” λόγω της χρήσης ενός compiled HTML file format για την ενεργοποίηση μιας “αλυσίδας μόλυνσης”.
Οι εγκληματίες πίσω από το Trojan ξεκινούν τις επιθέσεις τους με phishing emails. Στην πρόσφατη εκστρατεία, τα emails αυτά περιέχουν ερωτήματα που σχετίζονται με επιχειρήσεις και έχουν συνημμένα αρχεία .RAR.
Εάν το θύμα ανοίξει το συνημμένο, θα γίνει διαχωρισμός σε multi-volume αρχεία με επέκταση “r00”, ένα χαρακτηριστικό που οι ερευνητές πιστεύουν ότι θα μπορούσε να είναι μια προσπάθεια “παράκαμψης προγραμμάτων που θα αποκλείσουν [ένα] συνημμένο email με βάση την επέκταση αρχείου“.
Στη συνέχεια εξάγεται ένα compiled HTML file, το .CHM – το προεπιλεγμένο format για νόμιμα Windows Help files – το οποίο περιέχει ένα επιπλέον αρχείο HTML με ενσωματωμένο κώδικα JavaScript. Σε κάθε στάδιο, ο κώδικας αποκρύπτεται και τελικά οδηγεί σε ανάπτυξη ενός PowerShell script που περιέχει το Masslogger loader.
Η παραλλαγή του Masslogger Trojan, που είναι σχεδιασμένη για υπολογιστές Windows και γραμμένη σε .NET, θα αρχίσει να κλέβει credentials. Το trojan στοχεύει τόσο οικιακούς χρήστες όσο και επιχειρήσεις, αν και ο βασικός στόχος είναι οι επιχειρήσεις.
Αφού αποθηκευτεί στη μνήμη ως buffer, το κακόβουλο λογισμικό αρχίζει να συλλέγει τα credentials. Το Masslogger Trojan στοχεύει κυρίως credentials από Microsoft Outlook, Google Chrome, Firefox, Edge, NordVPN, FileZilla και Thunderbird.
Οι κλεμμένες πληροφορίες μπορούν να σταλούν μέσω SMTP, FTP ή HTTP channels. Οι πληροφορίες που μεταφορτώνονται σε έναν exfiltration server περιλαμβάνουν το username του PC του χρήστη, το ID χώρας, το ID υπολογιστή και ένα timestamp, καθώς και αρχεία που σχετίζονται με τις επιλογές διαμόρφωσης και τις διαδικασίες που εκτελούνται.
Οι ερευνητές είπαν, ακόμα, ότι το Masslogger μπορεί να λειτουργήσει και ως keylogger, αλλά σε αυτήν την παραλλαγή, φαίνεται ότι η λειτουργία keylogging έχει απενεργοποιηθεί.
Η Cisco Talos πιστεύει ότι οι επιτιθέμενοι πίσω από το Masslogger Trojan συνδέονται με προηγούμενες επιθέσεις που χρησιμοποιούσαν τα AgentTesla, Formbook και AsyncRAT Trojans.
Πηγή: ZDNet