MassLoger es uno de los ladrones de credenciales más populares que existen, y se ha detectado en una nueva campaña de phishing. El malware es capaz de recopilar datos de inicio de sesión de Microsoft Outlook, Google Chrome, y algunas aplicaciones de mensajería instantánea.
Los últimos ataques se detectaron en Turquía, Letonia, e Italia el mes pasado. El año pasado, Se detectaron campañas de malware similares contra usuarios en Bulgaria., Rumania, Hungría, Lituania, Estonia, y España, posiblemente por el mismo actor de amenazas.
MassLoger 2021 Las campañas de phishing
Detectado por primera vez en abril 2020, La nueva variante de MassLoger muestra que sus autores continúan trabajando en su mejora en términos de evasión de detección y monetización. La última campaña del malware fue analizada por investigadores de Cisco Talos.
"Aunque las operaciones del troyano Masslogger se han documentado previamente, encontramos que la nueva campaña se destaca por utilizar el formato de archivo HTML compilado para iniciar la cadena de infección. Este formato de archivo se usa normalmente para archivos de ayuda de Windows, pero también puede contener componentes de script activos, en este caso JavaScript, que lanza los procesos del malware,"Dijo el equipo.
¿Cómo funciona la cadena de infección MassLoger??
Dado que el malware se propaga en correos electrónicos de phishing, el primer paso de la infección sería abrir el mensaje malicioso. En general, Estos correos electrónicos están diseñados para parecer lo más legítimos posible., tener una línea de asunto relacionada con una empresa. Dentro del correo electrónico hay un "archivo adjunto RAR con una extensión de nombre de archivo un poco inusual":
La extensión de nombre de archivo habitual para archivos RAR es .rar. Sin embargo, Los archivos comprimidos con RAR también se pueden dividir en archivos de varios volúmenes. En este caso, el nombre de archivo crea archivos con la extensión RAR llamada “r00” y en adelante con la extensión de archivo .chm. Este esquema de nomenclatura es utilizado por la campaña Masslogger, presumiblemente para omitir cualquier programa que bloquearía el archivo adjunto de correo electrónico en función de su extensión de archivo, el informe explicado.
Cabe señalar que cada etapa de la infección se oculta mediante firmas simples para evitar las detecciones de seguridad.. La segunda etapa incluye un script de PowerShell desofuscado en un descargador que carga el cargador principal de PowerShell. Es probable que el cargador de malware esté alojado en hosts legítimos comprometidos.
La carga útil principal es una nueva variante de MassLogger que recupera y extrae las credenciales de usuario para varias aplicaciones.. Tanto los usuarios domésticos como los comerciales están en riesgo. Aunque el malware se puede utilizar como keylogger, la última campaña tiene esta función deshabilitada.
“La campaña observada se ejecuta casi en su totalidad y está presente solo en la memoria, que enfatiza la importancia de realizar escaneos de memoria regulares y de fondo. El único componente presente en el disco es el archivo adjunto y el archivo de ayuda HTML compilado.," Cisco Talos dijo En conclusión.
¿Qué pueden hacer los usuarios para evitar las infecciones de MassLogger??
Debe configurar su sistema operativo para registrar eventos de PowerShell, como carga de módulo y bloques de script ejecutados. Esta configuración le mostrará el código ejecutado en un formato desofuscado.
También puede echar un vistazo a nuestro dedicado Guía de eliminación de troyano MassLogger.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: