MassLoger est l'un des voleurs d'informations d'identification les plus populaires, et il a été détecté dans une nouvelle campagne de phishing. Le malware est capable de récolter les informations de connexion à partir de Microsoft Outlook, Google Chrome, et quelques applications de messagerie instantanée.
Les dernières attaques ont été détectées en Turquie, Lettonie, et l'Italie le mois dernier. L'année dernière, des campagnes de malwares similaires ont été détectées contre des utilisateurs en Bulgarie, Roumanie, Hongrie, Lituanie, Estonie, et de l'Espagne, éventuellement par le même acteur de la menace.
MassLoger 2021 Les campagnes de phishing
Tout d'abord détecté en Avril 2020, La nouvelle variante de MassLoger montre que ses auteurs continuent de travailler sur son amélioration en termes d’évasion de détection et de monétisation. La dernière campagne du malware a été analysée par les chercheurs de Cisco Talos.
«Bien que les opérations du cheval de Troie Masslogger aient déjà été documentées, nous avons trouvé la nouvelle campagne remarquable pour l'utilisation du format de fichier HTML compilé pour démarrer la chaîne d'infection. Ce format de fichier est généralement utilisé pour les fichiers d'aide de Windows, mais il peut également contenir des composants de script actifs, dans ce cas JavaScript, qui lance les processus du malware,”L'équipe a dit.
Comment fonctionne la chaîne d'infection MassLoger?
Puisque le malware se propage dans les e-mails de phishing, la première étape de l'infection serait d'ouvrir le message malveillant. Habituellement, ces e-mails sont conçus pour paraître aussi légitimes que possible, avoir une ligne d'objet liée à une entreprise. À l'intérieur de l'e-mail se trouve une "pièce jointe RAR avec une extension de nom de fichier légèrement inhabituelle":
L'extension de nom de fichier habituelle pour les fichiers RAR est .rar. Cependant, Les archives compressées RAR peuvent également être divisées en archives multi-volumes. Dans ce cas, le nom de fichier crée des fichiers avec l'extension RAR nommée “R00” et au-delà avec l'extension de fichier .chm. Ce schéma de dénomination est utilisé par la campagne Masslogger, vraisemblablement pour contourner tout programme qui bloquerait la pièce jointe en fonction de son extension de fichier, le rapport a expliqué.
Il convient de noter que chaque étape de l'infection est obscurcie via de simples signatures pour contourner les détections de sécurité. La deuxième étape comprend un script PowerShell désobfusqué dans un téléchargeur qui charge le chargeur PowerShell principal. Le chargeur de logiciels malveillants est probablement hébergé sur des hôtes légitimes compromis.
La charge utile principale est une nouvelle variante de MassLogger qui récupère et exfiltre les informations d'identification des utilisateurs pour plusieurs applications. Les utilisateurs domestiques et professionnels sont à risque. Même si le malware peut être utilisé comme un enregistreur de frappe, la dernière campagne a cette fonctionnalité désactivée.
«La campagne observée est presque entièrement exécutée et présente uniquement en mémoire, qui met l'accent sur l'importance d'effectuer des analyses de mémoire régulières et d'arrière-plan. Le seul composant présent sur le disque est la pièce jointe et le fichier d'aide HTML compilé," Cisco Talos a déclaré en conclusion.
Que peuvent faire les utilisateurs pour éviter les infections MassLogger?
Vous devez configurer votre système d'exploitation pour la journalisation des événements PowerShell, comme le chargement de module et l'exécution de blocs de script. Cette configuration vous montrera le code exécuté dans un format désobfusqué.
Vous pouvez également consulter notre site dédié Guide de suppression du cheval de Troie MassLogger.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: