MassLoger er en af de mest populære legitimationsstjæle derude, og det er blevet opdaget i en ny phishing-kampagne. Malwaren er i stand til at høste loginoplysninger fra Microsoft Outlook, Google Chrome, og nogle instant messenger-applikationer.
De seneste angreb blev opdaget i Tyrkiet, Letland, og Italien sidste måned. Sidste år, lignende malware-kampagner blev opdaget mod brugere i Bulgarien, Rumænien, Ungarn, Litauen, Estland, og Spanien, muligvis af den samme trusselsaktør.
MassLoger 2021 Phishing-kampagner
Først opdaget i april 2020, MassLogers nye variant viser, at dens forfattere fortsætter med at arbejde på forbedringen med hensyn til afsløringsunddragelse og monetisering. Den seneste kampagne med malware blev analyseret af Cisco Talos-forskere.
”Selvom Masslogger-trojans operationer tidligere er blevet dokumenteret, Vi fandt den nye kampagne bemærkelsesværdig for at bruge det kompilerede HTML-filformat til at starte infektionskæden. Dette filformat bruges typisk til Windows Hjælp-filer, men det kan også indeholde aktive scriptkomponenter, i dette tilfælde JavaScript, der starter malwareens processer,”Sagde holdet.
Hvordan fungerer MassLoger-infektionskæden?
Da malware spredes i phishing-e-mails, det første trin i infektionen ville være at åbne den ondsindede besked. Normalt, disse e-mails er designet til at se så legitime ud som muligt, have en emnelinje relateret til en virksomhed. Inde i e-mailen er der en “RAR-vedhæftet fil med en lidt usædvanlig filnavneudvidelse”:
Den sædvanlige filtypenavn for RAR-filer er .rar. Men, RAR-komprimerede arkiver kan også opdeles i arkiver med flere bind. I dette tilfælde, filnavnet opretter filer med RAR-udvidelsen navngivet “R00” og videre med filtypen .chm. Denne navngivningsordning bruges af Masslogger-kampagnen, formodentlig at omgå alle programmer, der vil blokere e-mail-vedhæftet fil baseret på dens filtypenavn, rapporten forklaret.
Det skal bemærkes, at hvert infektionsstadium tilsløres via enkle underskrifter for at omgå sikkerhedsdetekteringer. Den anden fase inkluderer et PowerShell-script, der er fjernet fra en downloader, der indlæser den primære PowerShell-læser. Malwarelæsseren er sandsynligvis hostet på kompromitterede legitime værter.
Den vigtigste nyttelast er en ny variant af MassLogger, der henter og exfiltrerer brugeroplysninger til flere applikationer. Både hjemmebrugere og forretningsbrugere er i fare. Selvom malware kan bruges som keylogger, den seneste kampagne har deaktiveret denne funktion.
”Den observerede kampagne udføres næsten udelukkende og findes kun i hukommelsen, som understreger vigtigheden af at udføre regelmæssige og baggrundshukommelsesscanninger. Den eneste komponent, der findes på disken, er vedhæftet fil og den kompilerede HTML-hjælpefil," Sagde Cisco Talos Afslutningsvis.
Hvad kan brugerne gøre for at undgå MassLogger-infektioner?
Du skal konfigurere dit operativsystem til logning af PowerShell-hændelser, som modulindlæsning og udførte scriptblokke. Denne konfiguration viser dig den udførte kode i et deobfuscated format.
Du kan også se på vores dedikerede Vejledning til fjernelse af MassLogger Trojan.