MassLoger é um dos ladrões de credenciais mais populares que existem, e foi detectado em uma nova campanha de phishing. O malware é capaz de coletar detalhes de login do Microsoft Outlook, Google Chrome, e alguns aplicativos de mensagens instantâneas.
Os últimos ataques foram detectados na Turquia, Letônia, e Itália no mês passado. Ano passado, campanhas de malware semelhantes foram detectadas contra usuários na Bulgária, Romênia, Hungria, Lituânia, Estônia, e Espanha, possivelmente pelo mesmo ator de ameaça.
MassLoger 2021 phishing Campanhas
Detectado pela primeira vez em abril 2020, A nova variante do MassLoger mostra que seus autores continuam a trabalhar em sua melhoria em termos de evasão de detecção e monetização. A última campanha do malware foi analisada por pesquisadores do Cisco Talos.
“Embora as operações do trojan do Masslogger tenham sido documentadas anteriormente, encontramos a nova campanha notável por usar o formato de arquivo HTML compilado para iniciar a cadeia de infecção. Este formato de arquivo é normalmente usado para arquivos de Ajuda do Windows, mas também pode conter componentes de script ativos, neste caso, JavaScript, que inicia os processos do malware,”A equipe disse.
Como funciona a cadeia de infecção do MassLoger?
Uma vez que o malware se espalha em e-mails de phishing, a primeira etapa da infecção seria abrir a mensagem maliciosa. Usualmente, esses e-mails são projetados para parecerem o mais legítimos possível, ter uma linha de assunto relacionada a um negócio. Dentro do e-mail está um “anexo RAR com uma extensão de nome de arquivo um pouco incomum”:
A extensão de nome de arquivo usual para arquivos RAR é .rar. Contudo, Arquivos compactados RAR também podem ser divididos em arquivos de vários volumes. Nesse caso, o nome do arquivo cria arquivos com a extensão RAR chamada “R00” e em diante com a extensão de arquivo .chm. Este esquema de nomenclatura é usado pela campanha do Masslogger, presumivelmente para ignorar qualquer programa que bloqueie o anexo de e-mail com base em sua extensão de arquivo, o relatório explicou.
Deve-se observar que cada estágio de infecção é ofuscado por meio de assinaturas simples para contornar as detecções de segurança. O segundo estágio inclui um script do PowerShell desofuscado em um downloader que carrega o carregador do PowerShell principal. O carregador de malware provavelmente está hospedado em hosts legítimos comprometidos.
A carga útil principal é uma nova variante do MassLogger que recupera e expulsa as credenciais do usuário para vários aplicativos. Tanto os usuários domésticos quanto os empresariais estão em risco. Mesmo que o malware possa ser usado como um keylogger, a última campanha tem esse recurso desativado.
“A campanha observada é quase inteiramente executada e presente apenas na memória, que enfatiza a importância da realização de varreduras de memória regulares e de fundo. O único componente presente no disco é o anexo e o arquivo de ajuda HTML compilado,” Cisco Talos disse para concluir.
O que os usuários podem fazer para evitar infecções por MassLogger?
Você deve configurar seu sistema operacional para registrar eventos do PowerShell, como o carregamento do módulo e blocos de script executados. Esta configuração irá mostrar que você executou o código em um formato desofuscado.
Você também pode dar uma olhada em nosso dedicado Guia de remoção do Trojan MassLogger.