Trojan znany z ataków na systemy Windows pojawił się ponownie w nowej kampanii phishingowej, której celem jest kradzież danych uwierzytelniających z aplikacji Microsoft Outlook, Google Chrome i komunikatorów internetowych.
Ataki wykonywane od połowy stycznia skierowane są głównie przeciwko użytkownikom w Turcji, na Łotwie i we Włoszech i wykorzystują MassLoggera – złośliwe oprogramowanie oparte na technologii .NET, które potrafi utrudniać analizę statyczną. Ataki są kontynuacją podobnych kampanii podjętych przez tego samego sprawcę przeciwko użytkownikom w Bułgarii, na Litwie, Węgrzech, w Estonii, Rumunii i Hiszpanii we wrześniu, październiku i listopadzie 2020 roku.
MassLogger został po raz pierwszy zauważony w kwietniu zeszłego roku, ale obecność nowego wariantu sugeruje, że autorzy złośliwego oprogramowania stale udoskonalają swój arsenał, aby uniknąć wykrycia i czerpać z niego zyski.
„Chociaż operacje trojana Masslogger zostały wcześniej udokumentowane, stwierdziliśmy, że nowa kampania zwraca uwagę na wykorzystanie skompilowanego formatu pliku HTML do rozpoczęcia łańcucha infekcji” – oświadczyli w środę badacze z Cisco Talos.
Skompilowany HTML (lub .CHM) jest zastrzeżonym formatem pomocy online opracowanym przez Microsoft, który jest używany do dostarczania tematycznych informacji pomocy.
Nowa fala ataków rozpoczyna się od wiadomości phishingowych zawierających „legalnie wyglądające” nagłówki, które wydają się mieć związek z firmą.
Jeden z e-maili skierowanych do użytkowników z Turcji miał temat „Zapytanie o klienta krajowego”, a w treści wiadomości znajdowało się odniesienie do załączonego zapytania. We wrześniu, październiku i listopadzie e-maile przybierały formę „protokołu ustaleń”, nakłaniając odbiorcę do podpisania dokumentu.
Niezależnie od tematu wiadomości, załączniki mają ten sam format: wieloczęściowe rozszerzenie nazwy pliku RAR (np. „70727_YK90054_Teknik_Cizimler.R09”) w celu ominięcia prób zablokowania załączników RAR z domyślnym rozszerzeniem „.RAR” – takie rozszerzenie pliku sugeruje, że jest to 10. plik skompresowanego RAR-em archiwum lub pliku.
Załączniki te zawierają pojedynczy skompilowany plik HTML, który po otwarciu wyświetla komunikat „Obsługa klienta”, ale w rzeczywistości jest w nim osadzony JavaScript tworzący stronę HTML, która z kolei zawiera downloader PowerShell łączący się ze zdalnym serwerem i pobierający loader ostatecznie odpowiedzialny za uruchomienie ładunku MassLoggera.
Najnowsza wersja MassLoggera (wersja 3.0.7563.31381), oprócz przechwytywania zgromadzonych danych za pośrednictwem protokołów SMTP, FTP lub HTTP, posiada również funkcję przechwytywania danych uwierzytelniających klienta w Pidgin, Discord, NordVPN, Outlook, Thunderbird, Firefox, QQ Browser oraz przeglądarek opartych na Chromium, takich jak Chrome, Edge, Opera i Brave.
„Masslogger może być skonfigurowany jako keylogger, ale w tym przypadku sprawca ataku wyłączył tę funkcjonalność” – zauważają badacze, dodając, że sprawca zagrożenia zainstalował na serwerze zewnętrznym wersję panelu kontrolnego Massloggera.
„Użytkownicy powinni skonfigurować swoje systemy do rejestrowania zdarzeń PowerShella, takich jak ładowanie modułów i wykonywanie bloków skryptów, ponieważ będą one pokazywać wykonany kod w jego zdekompilowanym formacie” – podsumowują badacze.
Czytaj podobne
Grupa hakerów (prawdopodobnie) z Białorusi włamała się na serwery rosyjskiego Roskomnadzoru
Największe na świecie naruszenia danych i ataki hakerskie
Chińscy hakerzy wykorzystują Dysk Google do umieszczania złośliwego oprogramowania w sieciach rządowych