Дослідники з Cisco Talos виявили нову шкідливу кампанію, націлену на крадіжку облікових даних з додатків за допомогою програми-шпигуна Masslogger. Новий варіант трояна поширюється через спам-листи з шкідливим вкладенням.

Для обходу засобів захисту зловмисники використовують багатоступінчастий спосіб зараження, обфускацію і виконувані в пам’яті скрипти-завантажувачі. Шкідливі розсилки в рамках поточної кампанії експерти спостерігають з середини січня.

Де поширюється?

Зважаючи на оформлення спам-повідомлень, ці атаки спрямовані проти організацій в Туреччині, Латвії та Італії. Схожі email-розсилки дослідники зафіксували в квітні і восени минулого року.

Шкідливі листи поширювалися також на території Болгарії, Угорщини, Румунії, Іспанії та Естонії, але цільове корисне навантаження було іншим – викрадачі інформації AgentTesla і Formbook або інструмент віддаленого адміністрування AsyncRAT.

В даному випадку кінцевою метою email-атаки є установка на Windows варіанти шпигунської програми Masslogger. Троян, написаний на мові .NET, з’явився на чорному ринку майже рік тому. Він володіє функціональністю інфостілера і кейлогера та здатний виводити крадені дані каналами SMTP, FTP або HTTP.

У виявлених Cisco зразках опція реєстрації клавіатурного введення виявилася відключеною. Аналіз показав, що оновлений Masslogger здатний красти паролі з Microsoft Outlook, Thunderbird, FoxMail, NordVPN , FTP-клієнта FileZilla, месенджерів Discord і Pidgin, а також QQ Browser, Firefox і браузерів на основі Chromium.

Еmail-повідомлення, які поширюють зловмисники, зазвичай імітують ділову переписку: пропонують підписати договір про взаєморозуміння, ознайомитися з результатами опитування клієнтів або затвердити технічну документацію, поставивши підпис.

Як маскується “шкідник”?

Приєднаний до листа RAR-файл не забезпечений традиційним розширенням (.rar), а позначений як частина архіву (окремий том): розширення будується за схемою Rxx, де xx – числа від 00 до 99. Очевидно, що це трюк використовують для обходу найпростіших фільтрів, налаштованих на відсів файлів з розширенням .rar.

Вкладений архів містить єдиний файл з розширенням .chm – цей формат зазвичай використовується для виведення довідки про програми, які працюють на Windows. Такі файли можуть містити текст, зображення і гіперпосилання.

При відкритті шкідливого CHM-файлу користувачеві відображається сторінка-заглушка. Декомпіляція CHM-файлу виявила JavaScript-сценарій, призначений для створення HTML-сторінки, код якої містить об’єкт ActiveX з PowerShell-скриптом. При запуску цей сценарій завантажує зі стороннього сервера ще один скрипт PowerShell – дропер Masslogger.

Зловмисники, мабуть, використовують багатоступеневу схему доставки шкідливий з метою уберегти його від виявлення. У той же час така тактика, на думку експертів, підвищує шанси захисників на розрив ланцюжка зараження на будь-якому етапі.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як не стати жертвою кіберзлочину, якщо працюєш вдома? ПОРАДИ

Що таке спуфінг і як запобігти атаці? ПОРАДИ

Чи варто користуватися WhatsApp? П’ять правил безпеки від найбільш розшукуваного хакера світу

Як перенести бесіди з WhatsApp у Telegram на Android? – ІНСТРУКЦІЯ

Як перенести історію чату з WhatsApp у Telegram для iPhone? – ІНСТРУКЦІЯ

Як змінити на Android обліковий запис Google за замовчуванням? – ІНСТРУКЦІЯ

Як дізнатися, які дані Google знає про Вас і видалити їх? – ІНСТРУКЦІЯ

Діяльність одного з найбільших у світі фішингових сервісів для атак на фінансові установи різних країн припинили правоохоронці. Від фішингових атак цього сервісу, який створив та адміністрував 39-річний мешканець Тернопільщини, постраждали 11 країн світу.

Досліднику у галузі кібербезпеки вдалося зламати внутрішні системи понад 35 найбільших компаній, серед яких були Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla та Uber. У цьому фахівцеві допомогла нова атака на ланцюжок поставок софту.

Для обходу захисних поштових шлюзів і фільтрів автори адресних фішингових листів використовують новаторський спосіб приховування шкідливого вмісту сторінки. Теги JavaScript, впроваджувані в HTML-код, шифруються з використанням азбуки Морзе.

Нове сімейство програм-вимагачів під назвою Vovalex поширюється через піратський софт, замаскований під популярні утиліти для Windows – наприклад, CCleaner. Одна цей шифрувальник має певну особливість, що відрізняє його від інших “шкідників” подібного класу.