MassLoger è uno dei ladri di credenziali più popolari in circolazione, ed è stato rilevato in una nuova campagna di phishing. Il malware è in grado di raccogliere i dettagli di accesso da Microsoft Outlook, Google Chrome, e alcune applicazioni di messaggistica istantanea.
Gli ultimi attacchi sono stati rilevati in Turchia, Lettonia, e l'Italia il mese scorso. L'anno scorso, campagne di malware simili sono state rilevate contro utenti in Bulgaria, Romania, Ungheria, Lituania, Estonia, e la Spagna, possibilmente dallo stesso attore della minaccia.
MassLoger 2021 Phishing Campagne
In primo luogo rilevato nel mese di aprile 2020, La nuova variante di MassLoger mostra che i suoi autori continuano a lavorare sul suo miglioramento in termini di evasione del rilevamento e monetizzazione. L'ultima campagna del malware è stata analizzata dai ricercatori di Cisco Talos.
“Sebbene le operazioni del trojan Masslogger siano state precedentemente documentate, abbiamo trovato la nuova campagna degna di nota per l'utilizzo del formato di file HTML compilato per avviare la catena di infezioni. Questo formato di file viene generalmente utilizzato per i file della Guida di Windows, ma può anche contenere componenti di script attivi, in questo caso JavaScript, che avvia i processi del malware,"Ha detto la squadra.
Come funziona la catena delle infezioni MassLoger?
Poiché il malware si diffonde nelle e-mail di phishing, il primo passo dell'infezione sarebbe aprire il messaggio dannoso. Solitamente, queste e-mail sono progettate per sembrare il più legittime possibile, avere un oggetto correlato a un'attività. All'interno dell'email c'è un "allegato RAR con un'estensione del nome file leggermente insolita":
La solita estensione per i file RAR è .rar. Tuttavia, Gli archivi compressi RAR possono anche essere suddivisi in archivi multi-volume. In questo caso, il nome del file crea file con l'estensione RAR denominata “R00” e avanti con l'estensione del file .chm. Questo schema di denominazione viene utilizzato dalla campagna Masslogger, presumibilmente per bypassare qualsiasi programma che bloccherebbe l'allegato e-mail in base all'estensione del file, il rapporto ha spiegato.
Va notato che ogni fase di infezione è offuscata tramite semplici firme per aggirare i rilevamenti di sicurezza. La seconda fase include uno script di PowerShell deoffuscato in un downloader che carica il caricatore di PowerShell principale. Il caricatore di malware è probabilmente ospitato su host legittimi compromessi.
Il payload principale è una nuova variante di MassLogger che recupera ed esfiltra le credenziali utente per diverse applicazioni. Sia gli utenti domestici che quelli aziendali sono a rischio. Anche se il malware può essere utilizzato come keylogger, l'ultima campagna ha questa funzione disattivata.
“La campagna osservata è quasi interamente eseguita e presente solo nella memoria, che sottolinea l'importanza di condurre scansioni della memoria regolari e in background. L'unico componente presente su disco è l'allegato e il file della guida HTML compilato," Cisco Talos ha detto Insomma.
Cosa possono fare gli utenti per evitare infezioni da MassLogger?
È necessario configurare il sistema operativo per la registrazione degli eventi di PowerShell, come il caricamento del modulo e l'esecuzione di blocchi di script. Questa configurazione ti mostrerà il codice eseguito in un formato deoffuscato.
Puoi anche dare un'occhiata alla nostra pagina dedicata MassLogger Trojan guida alla rimozione.