フィッシングメールで配布されるMassLoggerクレデンシャルスティーラー

MassLogerは、最も人気のあるクレデンシャルスティーラーの1つです。, 新しいフィッシングキャンペーンで検出されました. このマルウェアは、MicrosoftOutlookからログインの詳細を収集することができます, グーグルクローム, およびいくつかのインスタントメッセンジャーアプリケーション.

最新の攻撃がトルコで検出されました, ラトビア, と先月イタリア. 去年, ブルガリアのユーザーに対して同様のマルウェアキャンペーンが検出されました, ルーマニア, ハンガリー, リトアニア, エストニア, とスペイン, おそらく同じ脅威アクターによる.

MassLoger 2021 フィッシングキャンペーン

4月に最初に検出されました 2020, MassLogerの新しい亜種は、その作成者が検出回避と収益化の観点から改善に取り組んでいることを示しています. マルウェアの最新のキャンペーンは、CiscoTalosの研究者によって分析されました.

「Massloggerトロイの木馬の操作は以前に文書化されていますが, コンパイルされたHTMLファイル形式を使用して感染チェーンを開始したことで注目に値する新しいキャンペーンが見つかりました. このファイル形式は通常、Windowsヘルプファイルに使用されます, ただし、アクティブなスクリプトコンポーネントを含めることもできます, この場合JavaScript, マルウェアのプロセスを起動します,」チームは言った.

MassLoger感染チェーンはどのように機能しますか?

マルウェアはフィッシングメールに拡散しているため, 感染の最初のステップは、悪意のあるメッセージを開くことです. いつもの, これらの電子メールは、可能な限り正当に見えるように設計されています, ビジネスに関連する件名を持つ. メールの中には「ファイル名拡張子が少し変わったRAR添付ファイル」があります:

RARファイルの通常のファイル名拡張子は.rarです。. でも, RARで圧縮されたアーカイブは、マルチボリュームアーカイブに分割することもできます. この場合, ファイル名は、RAR拡張子という名前のファイルを作成します “r00” 以降、.chmファイル拡張子を付けます. この命名スキームは、Massloggerキャンペーンで使用されます, おそらく、ファイル拡張子に基づいて電子メールの添付ファイルをブロックするプログラムをバイパスする, レポートは説明しました.

セキュリティ検出をバイパスするために、すべての感染段階が単純な署名によって難読化されていることに注意してください。. 第2段階には、メインのPowerShellローダーをロードするダウンローダーに難読化されていないPowerShellスクリプトが含まれます. マルウェアローダーは、侵害された正当なホストでホストされている可能性があります.

メインペイロードは、いくつかのアプリケーションのユーザー資格情報を取得して盗み出すMassLoggerの新しいバリアントです。. ホームユーザーとビジネスユーザーの両方が危険にさらされています. マルウェアはキーロガーとして使用できますが, 最新のキャンペーンでは、この機能が無効になっています.

「観察されたキャンペーンはほぼ完全に実行され、メモリにのみ存在します, これは、定期的なバックグラウンドメモリスキャンを実行することの重要性を強調しています. ディスク上に存在する唯一のコンポーネントは、添付ファイルとコンパイルされたHTMLヘルプファイルです。,」 CiscoTalosは言った 結論は.

MassLogger感染を回避するためにユーザーができること?

PowerShellイベントをログに記録するようにオペレーティングシステムを構成する必要があります, モジュールの読み込みや実行されたスクリプトブロックなど. この構成では、実行されたコードが難読化されていない形式で表示されます.
また、私たちの専用を見ることができます MassLoggerトロイの木馬除去ガイド.