یک بدافزار معروف برای هدف قرار دادن سیستم‌های ویندوز در قالب یک کمپین جدید فیشینگ ظاهر شده است که هدف آن سرقت اعتبار از Microsoft Outlook ،Google Chrome و برنامه‌های مسنجر است.

این حملات عمدتاً علیه کاربران در ترکیه، لتونی و ایتالیا و از اواسط ژانویه شروع شده است، این حملات شامل استفاده از MassLogger بدافزار مبتنی بر NET با قابلیت جلوگیری از تجزیه و تحلیل استاتیک است.
فعالیت‌های مشابهی قبلا توسط همان مهاجم علیه کاربران در بلغارستان، لیتوانی، مجارستان، استونی، رومانی و اسپانیا در سپتامبر، اکتبر و نوامبر سال ۲۰۲۰ انجام گرفته بود.

MassLogger اولین بار در ماه آوریل گذشته مشاهده شد، اما وجود یک نوع جدید نشان می‌دهد که نویسندگان بدافزار دائماً برنامه خود را برای جلوگیری از شناسایی و کسب درآمد، بطور مداوم ‌تغییر می‌دهند.

محققان سیسکو تالوس گفتند: اگرچه این بدافزار قبلا بررسی و مستندسازی شده است اما متوجه شدیم که کمپین جدید برای استفاده از فرمت فایل HTML کامپایل شده برای شروع زنجیره توزیع و پخش، طراحی شده است.

​HTML کامپایل شده (یا .CHM) یک قالب کمکی آنلاین اختصاصی است که توسط مایکروسافت ساخته شده و برای ارائه اطلاعات topic-based استفاده می‌شود.

موج جدید حملات با پیام‌های فیشینگ حاوی عناوین ” legitimate-looking ” آغاز شده است که به نظر می‌رسد مربوط به یک تجارت باشد.

یکی از ایمیل‌های کاربران ترک مورد هدف قرار گرفته دارای عنوان “Domestic customer inquiry” بود که متن پیام کاربر را به پیوست ارجاع می‌داد. در سپتامبر، اکتبر و نوامبر، نامه‌های الکترونیکی به شکل “memorandum of understanding” در آمده و گیرنده را به امضای سند دعوت کرده‌اند.

برای دیدن سایز بزرگ روی عکس کلیک کنید
نام: hacking.jpg
مشاهده: 19
حجم: 41.8 کیلو بایت

صرف نظر از موضوع پیام، پیوست‌ها به همان فرمت پیوست می‌شوند(به عنوان مثال “۷۰۷۲۷_YK90054_Teknik_Cizimler.R09”).
این پیوست‌ها حاوی یک فایل HTML کامپایل شده هستند که با باز شدن، پیام “Customer service” نمایش داده می‌شود، اما در واقع یک کد جاوا اسکریپت است که برای ایجاد یک صفحه HTML جاسازی شده است، شامل یک PowerShell Payload برای اتصال به یک سرور و سپس دانلود، که در نهایت مسئول راه‌اندازی MassLogger Payload است.

جدا از اطلاعات جمع شده از طریق SMTP ،FTP یا HTTP، آخرین نسخه MassLogger (نسخه ۳.۰.۷۵۶۳.۳۱۳۸۱) دارای ویژگی‌هایی برای دسترسی به اطلاعات کاربری مشتریانPidgin ،Discord ،NordVPN Outlook ،Thunderbird ،Firefox ،QQ Browser و مرورگرهای مبتنی بر Chromium مانندChrome ،Edge Opera و Brave است.

Masslogger می‌تواند به عنوان keylogger پیکربندی شود، اما در این حالت مهاجم این قابلیت را غیرفعال کرده است.
محققان متذکر شدند عامل تهدید نسخه‌ای از کنترل پنل Masslogger را بر روی سرور exfiltration نصب کرده است.

به كاربران توصیه می‌شود كه سیستم‌های خود را برای ثبت وقایع PowerShell مانند دانلود ماژول و اجرای بلوك‌های اسكریپت پیكربندی كنند زیرا كدهای اجرا شده را در قالب فرمت deobfuscated نشان می‌دهد.


دوست داشتید؟ لطفا با دوستان خود به اشتراک بگذارید.

86

یک نظر

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *