Nuova variante di MassLogger Trojan
Buongiorno cari lettori, oggi parleremo di nuova variante di MassLogger Trojan che ruba i dati di Chrome e Outlook.
MassLogger è stato originariamente scoperto nell'aprile 2020.
Una nuova versione del famigerato trojan ruba-credenziali chiamato MassLogger è riemerso in una campagna di phishing che ruba le credenziali dalle app di messaggeria istantanea, MS Outlook e Google Chrome.
La nuova versione del trojan prende di mira gli utenti di Windows utilizzando un formato di file HTML compilato, che avvia la catena di infezione. Questo formato è usato tipicamente per i file di aiuto di Windows. Tuttavia, può anche contenere componenti di script attivi, che in questo caso è JavaScript che ha lanciato le operazioni del malware.
Campagna attiva in diversi paesi
La campagna è stata scoperta dai ricercatori di Cisco Talos che hanno appreso che sta colpendo principalmente gli utenti in Turchia, Spagna, Russia, Italia e Lettonia. La campagna è attiva da metà gennaio.
Secondo i ricercatori, la variante MassLogger maschera i suoi file RAR dannosi all'inizio della catena di infezione, una nuova mossa degli operatori. Questo aiuta il malware a eludere gli strumenti di rilevamento che possono potenzialmente bloccare gli allegati e-mail con estensione RAR.
Gli operatori del malware usano un approccio multi-modulare
Secondo un post sul blog pubblicato dai ricercatori, gli operatori del malware impiegano un approccio multi-modulare in questa campagna fin dal primo passo dell'email di phishing per far cadere il payload finale. Anche se questo permette loro di eludere il rilevamento, potrebbe essere una debolezza in quanto i difensori avranno molte opportunità per rompere la catena di uccisione.
L'email di phishing contiene un oggetto dall'aspetto legittimo relativo a un'azienda. Per esempio, una delle e-mail inviate agli utenti della Turchia aveva come oggetto "Domestic Customer Inquiry".
Più tardi, gli operatori hanno inviato e-mail sotto forma di un "memorandum d'intesa" costringendo i destinatari a firmare il documento.
Le e-mail sono incorporate con codice JavaScript offuscato per creare una pagina HTML. Questa pagina contiene un PowerShell scaricato che stabilisce una connessione con un server legittimo e recupera il caricatore per lanciare il payload di MassLogger.
Attenzione; MassLogger Trojan sta rubando dati da Chrome, Outlook
Email di phishing contenenti il trojan MassLogger bersagliano le vittime in Spagna
Cos'è MassLogger?
È uno spyware che può rubare le credenziali degli utenti da una varietà di piattaforme, tra cui Chrome e Outlook. La nuova variante è un malware basato su . NET che può ostacolare l'analisi statica. È stato avvistato per la prima volta in natura nell'aprile 2020. Tuttavia, la nuova variante è molto più potente in quanto gli autori del malware l'hanno riattrezzata con successo per eludere il rilevamento.
Come funziona?
Nell'attuale campagna, oltre a esfiltrare i dati attraverso FTP, SMTP o HTTP, l'ultima variante MassLogger versione 3.0.7563.31381 presenta una funzionalità aggiuntiva di rubare le credenziali di Pidgin messenger client, NordVPN, Discord, Thunderbird, Firefox, QQ Browser, Chrome, Edge, Opera e Brave.
Attenzione; MassLogger Trojan sta rubando dati da Chrome, Outlook
Il malware può essere configurato come un keylogger, ma questa funzionalità è disabilitata nella presente campagna.
"Si consiglia agli utenti di configurare i loro sistemi per la registrazione di eventi PowerShell come il caricamento del modulo e i blocchi di script eseguiti, in quanto mostreranno il codice eseguito nel suo formato deobfuscato", hanno consigliato i ricercatori di Cisco Talos.
spero che questo articolo ti sia piaciuto, e ci vedremo ad un prossimo.
