Casa > cibernético Notícias > Roubo de credenciais do MassLogger distribuído em emails de phishing
CYBER NEWS

Roubo de credenciais do MassLogger distribuído em emails de phishing

MassLoger é um dos ladrões de credenciais mais populares que existem, e foi detectado em uma nova campanha de phishing. O malware é capaz de coletar detalhes de login do Microsoft Outlook, Google Chrome, e alguns aplicativos de mensagens instantâneas.

Os últimos ataques foram detectados na Turquia, Letônia, e Itália no mês passado. Ano passado, campanhas de malware semelhantes foram detectadas contra usuários na Bulgária, Romênia, Hungria, Lituânia, Estônia, e Espanha, possivelmente pelo mesmo ator de ameaça.

MassLoger 2021 phishing Campanhas

Detectado pela primeira vez em abril 2020, A nova variante do MassLoger mostra que seus autores continuam a trabalhar em sua melhoria em termos de evasão de detecção e monetização. A última campanha do malware foi analisada por pesquisadores do Cisco Talos.




“Embora as operações do trojan do Masslogger tenham sido documentadas anteriormente, encontramos a nova campanha notável por usar o formato de arquivo HTML compilado para iniciar a cadeia de infecção. Este formato de arquivo é normalmente usado para arquivos de Ajuda do Windows, mas também pode conter componentes de script ativos, neste caso, JavaScript, que inicia os processos do malware,”A equipe disse.

Como funciona a cadeia de infecção do MassLoger?

Uma vez que o malware se espalha em e-mails de phishing, a primeira etapa da infecção seria abrir a mensagem maliciosa. Usualmente, esses e-mails são projetados para parecerem o mais legítimos possível, ter uma linha de assunto relacionada a um negócio. Dentro do e-mail está um “anexo RAR com uma extensão de nome de arquivo um pouco incomum”:

A extensão de nome de arquivo usual para arquivos RAR é .rar. Contudo, Arquivos compactados RAR também podem ser divididos em arquivos de vários volumes. Nesse caso, o nome do arquivo cria arquivos com a extensão RAR chamada “R00” e em diante com a extensão de arquivo .chm. Este esquema de nomenclatura é usado pela campanha do Masslogger, presumivelmente para ignorar qualquer programa que bloqueie o anexo de e-mail com base em sua extensão de arquivo, o relatório explicou.

Deve-se observar que cada estágio de infecção é ofuscado por meio de assinaturas simples para contornar as detecções de segurança. O segundo estágio inclui um script do PowerShell desofuscado em um downloader que carrega o carregador do PowerShell principal. O carregador de malware provavelmente está hospedado em hosts legítimos comprometidos.

A carga útil principal é uma nova variante do MassLogger que recupera e expulsa as credenciais do usuário para vários aplicativos. Tanto os usuários domésticos quanto os empresariais estão em risco. Mesmo que o malware possa ser usado como um keylogger, a última campanha tem esse recurso desativado.

“A campanha observada é quase inteiramente executada e presente apenas na memória, que enfatiza a importância da realização de varreduras de memória regulares e de fundo. O único componente presente no disco é o anexo e o arquivo de ajuda HTML compilado,” Cisco Talos disse para concluir.

O que os usuários podem fazer para evitar infecções por MassLogger?

Você deve configurar seu sistema operacional para registrar eventos do PowerShell, como o carregamento do módulo e blocos de script executados. Esta configuração irá mostrar que você executou o código em um formato desofuscado.
Você também pode dar uma olhada em nosso dedicado Guia de remoção do Trojan MassLogger.

Milena Dimitrova

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Compartilhar no Facebook Compartilhar
Carregando...
Compartilhar no Twitter chilrear
Carregando...
Compartilhar no Google Plus Compartilhar
Carregando...
Partilhar no Linkedin Compartilhar
Carregando...
Compartilhar no Digg Compartilhar
Compartilhar no Reddit Compartilhar
Carregando...
Partilhar no StumbleUpon Compartilhar
Carregando...