以新的Windows系统为目标的臭名昭著的凭据窃取者已经在新的网络钓鱼活动中浮出水面,旨在从Microsoft Outlook,Google Chrome和即时通讯应用程序中窃取凭据。
从1月中旬开始,这些攻击主要针对土耳其,拉脱维亚和意大利的用户,这些攻击涉及使用MassLogger(一种基于.NET的恶意软件,具有阻止静态分析的功能),其基础是同一行为者针对保加利亚的用户开展的类似活动,立陶宛,匈牙利,爱沙尼亚,罗马尼亚和西班牙,时间分别为2020年9月,10月和11月。
MassLogger于去年四月首次在野外被发现,但是新版本的出现意味着恶意软件作者正在不断调整其工具库,以逃避检测并从中获利。
思科塔洛斯公司的研究人员在星期三说: “尽管以前已经记录过Masslogger木马的操作,但我们发现新的活动值得注意的是使用编译的HTML文件格式来启动感染链。”
编译的HTML(或.CHM)是Microsoft专有的在线帮助格式,用于提供基于主题的参考信息。
新一轮的攻击始于网络钓鱼消息,其中包含看起来与企业有关的“合法”主题行。
其中一封针对土耳其用户的电子邮件主题为“国内客户查询”,邮件正文引用了附加的报价。在9月,10月和11月,这些电子邮件采取了“谅解备忘录”的形式,敦促收件人在文档上签名。
不管消息主题如何,附件都遵循相同的格式:RAR多卷文件名扩展名(例如“ 70727_YK90054_Teknik_Cizimler.R09”),以绕过尝试使用其默认文件名扩展名“ .RAR”阻止RAR附件。
这些附件包含一个已编译的HTML文件,该文件在打开时显示消息“客户服务”,但实际上嵌入了模糊的JavaScript代码以创建HTML页面,该页面又包含一个PowerShell下载器以连接到合法服务器,并且获取最终负责启动MassLogger有效负载的加载程序。
除了通过SMTP,FTP或HTTP泄漏聚集的数据外,最新版本的MassLogger(版本3.0.7563.31381)还具有从Pidgin Messenger客户端,Discord,NordVPN,Outlook,Thunderbird,Firefox,QQ浏览器和Chromium-基于浏览器的浏览器,例如Chrome,Edge,Opera和Brave。
研究人员指出:“ Masslogger可以配置为键盘记录器,但是在这种情况下,actor已禁用了此功能。”并补充说,威胁actor在渗透服务器上安装了Masslogger控制面板版本。
除已编译的HTML帮助文件外,活动几乎完全执行且仅在内存中显示,因此进行常规内存扫描的重要性不能被过分夸大。
研究人员总结说:“建议用户配置其系统以记录PowerShell事件,例如模块加载和执行的脚本块,因为它们将以模糊的格式显示执行的代码。”
*编译:Domino
*来自:thehackernews