新型 Masslogger 木马针对 Windows 窃取用户凭据

Andrew 2021-02-18
专栏 - 资讯 发布于 2021-02-18 11:38:20 阅读 65 评论 0

Masslogger木马的新版本已针对Windows用户-现在使用已编译的HTML(CHM)文件格式启动感染链。

网络罪犯使用Masslogger木马的新变种针对Windows用户,该木马是间谍软件,旨在从Microsoft Outlook,Google Chrome和各种即时通讯帐户中窃取受害者的凭据。

从1月中旬开始,研究人员发现了针对意大利,拉脱维亚和土耳其用户的运动。当Masslogger变体启动其感染链时,它会将其恶意RAR文件伪装成Compiled HTML(CHM)文件。研究人员在周三表示,这是Masslogger的一项新举措,它可以帮助恶意软件避开潜在的防御程序,否则该防御程序会基于RAR文件扩展名阻止电子邮件附件。

思科Talos的外展研究员Vanja Svajcer对Threatpost说:“由于最初的感染媒介是电子邮件,因此使用编译的HTML(通常用于Windows帮助文件)可能对攻击者有利。” “许多组织不会将CHM文件视为可执行文件,因此他们更有可能会逃避内容过滤器,该过滤器根据附件名称或类型过滤传入的电子邮件。”

Masslogger是一个间谍软件程序,用.NET编写,并且会窃取浏览器,电子邮件和即时消息凭据。该木马于四月发布,此后已在地下论坛上出售。

“ Masslogger是一个间谍软件程序,它是用.NET编写的,可以窃取浏览器、电子邮件和即时消息凭证。该特洛伊木马程序于4月份发布,此后在地下论坛上出售。”

Masslogger的感染链:鱼叉式网络钓鱼电子邮件

研究人员表示,最近的攻击是以电子邮件开始的,其中包含与商业相关的“看起来合法”的主题行。例如,一封名为“国内客户询价”的电子邮件告诉收件人:“应我们客户的要求,请寄出所附的最佳报价。”

这些电子邮件包含RAR附件-但是,值得注意的是,尽管RAR文件的典型文件扩展名是.rar,但在这种情况下,攻击者使用.chm文件扩展名隐藏了它们。这些文件以“R00”模式命名,并且每封电子邮件中每个文件的数字都在增加。

编译的HTML(CHM)文件格式用于帮助文档-文件被编译并以压缩的HTML格式保存。它们可能包括文本,图像和超链接。Windows程序将CHM文件用作联机帮助解决方案。

Svajcer说,有时会选择此附件文件名扩展名来绕过“简单阻止程序”,后者尝试使用其默认文件名扩展名“ .rar”来阻止RAR附件。他指出,WinRAR和其他具有RAR功能的未归档程序仍将打开CHM文件,而不会出现问题。

在这种情况下,附件中将包含带有 “轻度混淆” JavaScript代码的嵌入式HTML文件,该文件一旦打开便会启动主动感染过程。

在主动感染过程开始之后,将执行PowerShell脚本,该脚本最终会模糊处理成下载程序。然后,这将下载并加载主PowerShell加载器。

Svajcer说:“主要的有效负载是Masslogger木马的一种变体,旨在从各种来源检索和泄露用户凭证,以家庭和企业用户为目标。” “ Masslogger可以配置为按键记录器,但是在这种情况下,actor已禁用了此功能。”

Microsoft Outlook,Google Chrome凭据受到攻击

Masslogger有效负载包含用于从以下应用程序中定向和窃取凭据的功能:Pidgin(免费和开放源代码的多平台即时通讯客户端),FileZilla文件传输协议(FTP)客户端,Discord组聊天平台,NordVPN ,Outlook,FoxMail,Firefox,Thunderbird,QQ浏览器和基于Chromium的浏览器(Chrome,Chromium,Edge,Opera和Brave)。

“一旦从目标应用程序中检索到凭据,它们就会以文件名上载到渗透服务器,文件名包含用户名,两个字母的国家ID,唯一的计算机ID以及创建文件的时间戳,” Svajcer说。

Masslogger恶意软件继续发展

研究人员认为,竞选活动的幕后演员与其他袭击事件息息相关,这些袭击事件至少可以追溯到9月。这些运动针对的是几个欧洲国家,并且每月都在改变重点。例如,研究人员检测到针对保加利亚,爱沙尼亚,匈牙利,意大利,拉脱维亚,立陶宛,罗马尼亚,西班牙和土耳其的电子邮件以及以英语编写的邮件。

根据研究人员检索到的危害指标(IoC),他们说,他们“有一定的信心”,认为该攻击者以前曾在其他活动中使用过其他有效负载,例如AgentTesla特洛伊木马和Formbook Dropper,最早可从4月开始。

“参与者采用了一种多模块方法,从最初的网络钓鱼电子邮件开始,一直传递到最终的有效负载,” Svajcer说。“这场运动背后的对手很可能这样做是为了逃避侦查。但这也可能是一个弱点,因为防御者有很多机会打破杀戮链。”

rar
本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!