Casa > cibernético Notícias > Roubo de credenciais do MassLogger distribuído em emails de phishing
CYBER NEWS

Roubo de credenciais do MassLogger distribuído em emails de phishing

MassLoger é um dos ladrões de credenciais mais populares que existem, e foi detectado em uma nova campanha de phishing. O malware é capaz de coletar detalhes de login do Microsoft Outlook, Google Chrome, e alguns aplicativos de mensagens instantâneas.

Os últimos ataques foram detectados na Turquia, Letônia, e Itália no mês passado. Ano passado, campanhas de malware semelhantes foram detectadas contra usuários na Bulgária, Romênia, Hungria, Lituânia, Estônia, e Espanha, possivelmente pelo mesmo ator de ameaça.

MassLoger 2021 phishing Campanhas

Detectado pela primeira vez em abril 2020, A nova variante do MassLoger mostra que seus autores continuam a trabalhar em sua melhoria em termos de evasão de detecção e monetização. A última campanha do malware foi analisada por pesquisadores do Cisco Talos.




“Embora as operações do trojan do Masslogger tenham sido documentadas anteriormente, encontramos a nova campanha notável por usar o formato de arquivo HTML compilado para iniciar a cadeia de infecção. Este formato de arquivo é normalmente usado para arquivos de Ajuda do Windows, mas também pode conter componentes de script ativos, neste caso, JavaScript, que inicia os processos do malware,”A equipe disse.

Como funciona a cadeia de infecção do MassLoger?

Uma vez que o malware se espalha em e-mails de phishing, a primeira etapa da infecção seria abrir a mensagem maliciosa. Usualmente, esses e-mails são projetados para parecerem o mais legítimos possível, ter uma linha de assunto relacionada a um negócio. Dentro do e-mail está um “anexo RAR com uma extensão de nome de arquivo um pouco incomum”:

A extensão de nome de arquivo usual para arquivos RAR é .rar. Contudo, Arquivos compactados RAR também podem ser divididos em arquivos de vários volumes. Nesse caso, o nome do arquivo cria arquivos com a extensão RAR chamada “R00” e em diante com a extensão de arquivo .chm. Este esquema de nomenclatura é usado pela campanha do Masslogger, presumivelmente para ignorar qualquer programa que bloqueie o anexo de e-mail com base em sua extensão de arquivo, o relatório explicou.

Deve-se observar que cada estágio de infecção é ofuscado por meio de assinaturas simples para contornar as detecções de segurança. O segundo estágio inclui um script do PowerShell desofuscado em um downloader que carrega o carregador do PowerShell principal. O carregador de malware provavelmente está hospedado em hosts legítimos comprometidos.

A carga útil principal é uma nova variante do MassLogger que recupera e expulsa as credenciais do usuário para vários aplicativos. Tanto os usuários domésticos quanto os empresariais estão em risco. Mesmo que o malware possa ser usado como um keylogger, a última campanha tem esse recurso desativado.

“A campanha observada é quase inteiramente executada e presente apenas na memória, que enfatiza a importância da realização de varreduras de memória regulares e de fundo. O único componente presente no disco é o anexo e o arquivo de ajuda HTML compilado,” Cisco Talos disse para concluir.

O que os usuários podem fazer para evitar infecções por MassLogger?

Você deve configurar seu sistema operacional para registrar eventos do PowerShell, como o carregamento do módulo e blocos de script executados. Esta configuração irá mostrar que você executou o código em um formato desofuscado.
Você também pode dar uma olhada em nosso dedicado Guia de remoção do Trojan MassLogger.

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Política de Privacidade.
Concordo