MassLoger ist einer der beliebtesten Stealer für Anmeldeinformationen, und es wurde in einer neuen Phishing-Kampagne entdeckt. Die Malware kann Anmeldedaten aus Microsoft Outlook abrufen, Google Chrome, und einige Instant Messenger-Anwendungen.
Die jüngsten Angriffe wurden in der Türkei entdeckt, Lettland, und Italien im letzten Monat. Letztes Jahr, Ähnliche Malware-Kampagnen wurden gegen Benutzer in Bulgarien festgestellt, Rumänien, Ungarn, Litauen, Estland, und Spanien, möglicherweise von demselben Bedrohungsakteur.
MassLoger 2021 Phishing-Kampagnen
Zuerst im April entdeckt 2020, Die neue Variante von MassLoger zeigt, dass die Autoren weiterhin an der Verbesserung der Umgehung und Monetarisierung von Erkennungen arbeiten. Die neueste Kampagne der Malware wurde von Cisco Talos-Forschern analysiert.
„Obwohl die Operationen des Masslogger-Trojaners bereits dokumentiert wurden, Wir fanden die neue Kampagne bemerkenswert, weil sie das kompilierte HTML-Dateiformat zum Starten der Infektionskette verwendet. Dieses Dateiformat wird normalerweise für Windows-Hilfedateien verwendet, Es kann aber auch aktive Skriptkomponenten enthalten, in diesem Fall JavaScript, Hiermit werden die Prozesse der Malware gestartet,Sagte das Team.
Wie funktioniert die MassLoger-Infektionskette??
Da die Malware in Phishing-E-Mails verbreitet ist, Der erste Schritt der Infektion wäre das Öffnen der schädlichen Nachricht. In der Regel, Diese E-Mails sollen so legitim wie möglich aussehen, eine Betreffzeile haben, die sich auf ein Unternehmen bezieht. In der E-Mail befindet sich ein „RAR-Anhang mit einer etwas ungewöhnlichen Dateinamenerweiterung“.:
Die übliche Dateinamenerweiterung für RAR-Dateien ist .rar. Jedoch, RAR-komprimierte Archive können auch in Archive mit mehreren Volumes aufgeteilt werden. In diesem Fall, Der Dateiname erstellt Dateien mit der benannten RAR-Erweiterung “r00” und weiter mit der Dateierweiterung .chm. Dieses Namensschema wird von der Masslogger-Kampagne verwendet, vermutlich, um Programme zu umgehen, die den E-Mail-Anhang aufgrund seiner Dateierweiterung blockieren würden, der Bericht erklärt.
Es ist zu beachten, dass jedes Infektionsstadium durch einfache Signaturen verschleiert wird, um Sicherheitserkennungen zu umgehen. Die zweite Stufe umfasst ein PowerShell-Skript, das in einen Downloader deobfusciert wurde, der den PowerShell-Hauptlader lädt. Der Malware Loader wird wahrscheinlich auf gefährdeten legitimen Hosts gehostet.
Die Hauptnutzlast ist eine neue Variante von MassLogger, mit der Benutzeranmeldeinformationen für mehrere Anwendungen abgerufen und exfiltriert werden. Sowohl Privat- als auch Geschäftsanwender sind gefährdet. Obwohl die Malware als Keylogger verwendet werden kann, In der neuesten Kampagne ist diese Funktion deaktiviert.
„Die beobachtete Kampagne wird fast vollständig ausgeführt und ist nur in Erinnerung, Dies unterstreicht die Bedeutung der Durchführung regelmäßiger und Hintergrundspeicher-Scans. Die einzige Komponente auf der Festplatte ist der Anhang und die kompilierte HTML-Hilfedatei," Cisco Talos sagte abschließend.
Was können Benutzer tun, um MassLogger-Infektionen zu vermeiden??
Sie sollten Ihr Betriebssystem für die Protokollierung von PowerShell-Ereignissen konfigurieren, wie das Laden von Modulen und ausgeführte Skriptblöcke. Diese Konfiguration zeigt Ihnen ausgeführten Code in einem deobfuscated Format.
Sie können sich auch unsere engagierten ansehen Anleitung zum Entfernen von MassLogger-Trojanern.