MassLogger Trojan è stato originariamente scoperto nell’aprile 2020 e ruba i dati di Chrome e Outlook. Una nuova versione del famigerato trojan ruba-credenziali chiamato MassLogger è riemerso in una campagna di phishing che ruba le credenziali dalle app di messaggeria istantanea, MS Outlook e Google Chrome.
MassLogger Trojan: chi colpisce?
La nuova versione del trojan prende di mira gli utenti di Windows utilizzando un formato di file HTML compilato, che avvia la catena di infezione. Questo formato è usato tipicamente per i file di aiuto di Windows. Tuttavia, può anche contenere componenti di script attivi, che in questo caso è JavaScript che ha lanciato le operazioni del malware. La campagna è stata scoperta dai ricercatori di Cisco Talos che hanno appreso che sta colpendo principalmente gli utenti in Turchia, Spagna, Russia, Italia e Lettonia. Da metà gennaio.
Secondo i ricercatori, la variante MassLogger maschera i suoi file RAR dannosi all’inizio della catena di infezione, una nuova mossa degli operatori. Questo aiuta il malware a eludere gli strumenti di rilevamento che possono potenzialmente bloccare gli allegati e-mail con estensione RAR.
Nuovo approccio per gli hacker
Gli operatori del malware impiegano un approccio multi-modulare in questa campagna fin dal primo passo dell’email di phishing per far cadere il payload finale. Anche se questo permette loro di eludere il rilevamento, potrebbe essere una debolezza in quanto i difensori avranno molte opportunità per rompere questa catena.
L’email di phishing contiene un oggetto dall’aspetto legittimo relativo a un’azienda. Per esempio, una delle e-mail inviate agli utenti della Turchia aveva come oggetto “Domestic Customer Inquiry”.Più tardi, gli operatori hanno inviato e-mail sotto forma di un “memorandum d’intesa” costringendo i destinatari a firmare il documento.
Come funziona l’attacco
Le e-mail sono incorporate con codice JavaScript offuscato per creare una pagina HTML. Questa pagina contiene un PowerShell scaricato che stabilisce una connessione con un server legittimo e recupera il caricatore per lanciare il payload di MassLogger.
Cos’è MassLogger
È uno spyware che può rubare le credenziali degli utenti da una varietà di piattaforme, tra cui Chrome e Outlook. La nuova variante è un malware basato su .NET che può ostacolare l’analisi statica. È stato avvistato per la prima volta in natura nell’aprile 2020. Tuttavia, la nuova variante è molto più potente in quanto gli autori del malware l’hanno riattrezzata con successo per eludere il rilevamento.
Nell’attuale campagna, non solo esfiltra i dati attraverso FTP, SMTP o HTTP. L’ultima variante MassLogger versione 3.0.7563.31381 presenta una funzionalità aggiuntiva di rubare le credenziali di Pidgin messenger client, NordVPN, Discord, Thunderbird, Firefox, QQ Browser, Chrome, Edge, Opera e Brave.
Come combatterlo
Si consiglia agli utenti di configurare i loro sistemi per la registrazione di eventi PowerShell come il caricamento del modulo e i blocchi di script eseguiti, in quanto mostreranno il codice eseguito nel suo formato chiaro.
Fonte: newspera.blogspot.com