MassLoger is een van de meest populaire inloggegevens die er zijn, en het is gedetecteerd in een nieuwe phishing-campagne. De malware kan inloggegevens uit Microsoft Outlook verzamelen, Google Chrome, en enkele instant messenger-applicaties.
In Turkije zijn de laatste aanvallen ontdekt, Letland, en Italië vorige maand. Vorig jaar, soortgelijke malwarecampagnes werden gedetecteerd tegen gebruikers in Bulgarije, Roemenië, Hongarije, Litouwen, Estland, en Spanje, mogelijk door dezelfde dreigingsactor.
MassLoger 2021 phishing Campagnes
Eerst ontdekt in april 2020, De nieuwe variant van MassLoger laat zien dat de auteurs blijven werken aan de verbetering ervan op het gebied van detectie-ontwijking en het genereren van inkomsten. De nieuwste campagne van de malware is geanalyseerd door onderzoekers van Cisco Talos.
“Hoewel de operaties van de Masslogger-trojan eerder zijn gedocumenteerd, we vonden de nieuwe campagne opmerkelijk omdat ze het gecompileerde HTML-bestandsformaat gebruikte om de infectieketen te starten. Dit bestandsformaat wordt doorgaans gebruikt voor Windows Help-bestanden, maar het kan ook actieve scriptcomponenten bevatten, in dit geval JavaScript, die de processen van de malware start,”Zei het team.
Hoe werkt de MassLoger-infectieketen?
Omdat de malware wordt verspreid via phishing-e-mails, de eerste stap van de infectie zou zijn om het kwaadaardige bericht te openen. Gewoonlijk, deze e-mails zijn ontworpen om er zo legitiem mogelijk uit te zien, met een onderwerpregel gerelateerd aan een bedrijf. In de e-mail bevindt zich een "RAR-bijlage met een enigszins ongebruikelijke bestandsnaamextensie":
De gebruikelijke bestandsnaamextensie voor RAR-bestanden is .rar. Echter, RAR-gecomprimeerde archieven kunnen ook worden opgesplitst in archieven met meerdere volumes. In dit geval, de bestandsnaam creëert bestanden met de RAR-extensie genaamd “R00” en verder met de bestandsextensie .chm. Dit naamgevingsschema wordt gebruikt door de Masslogger-campagne, vermoedelijk om alle programma's te omzeilen die de e-mailbijlage zouden blokkeren op basis van de bestandsextensie, het rapport legde uit.
Opgemerkt moet worden dat elk infectiestadium wordt verdoezeld via eenvoudige handtekeningen om beveiligingsdetecties te omzeilen. De tweede fase bevat een PowerShell-script dat is verduidelijkt in een downloader die de belangrijkste PowerShell-lader laadt. De malwarelader wordt waarschijnlijk gehost op gecompromitteerde legitieme hosts.
De belangrijkste payload is een nieuwe variant van MassLogger die gebruikersreferenties voor verschillende applicaties ophaalt en exfiltreert. Zowel thuisgebruikers als zakelijke gebruikers lopen gevaar. Ook al kan de malware als keylogger worden gebruikt, bij de laatste campagne is deze functie uitgeschakeld.
“De geobserveerde campagne wordt bijna volledig uitgevoerd en is alleen ter herinnering aanwezig, wat het belang benadrukt van het uitvoeren van regelmatige scans en achtergrondgeheugenscans. Het enige component dat op schijf aanwezig is, is de bijlage en het gecompileerde HTML-helpbestand," Zei Cisco Talos ten slotte.
Wat kunnen gebruikers doen om MassLogger-infecties te voorkomen?
U moet uw besturingssysteem configureren voor het loggen van PowerShell-gebeurtenissen, zoals het laden van modules en uitgevoerde scriptblokken. Deze configuratie toont u uitgevoerde code in een duidelijker formaat.
U kunt ook een kijkje nemen bij onze dedicated MassLogger Trojan verwijderingsgids.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: