MassLogger è un malware piuttosto conosciuto nel mondo della cybersecurity italiana: è uno dei malware che, a cadenza piuttosto regolare, viene diffuso con campagne di phishing e spam ad hoc contro utenti italiani. La sua diffusione è così ricorrente e preoccupante da aver indotto il CERT-AGiD ad analizzare e scrivere un report / alert su questa minaccia.
Ora MassLogger, che ricordiamo è un malware infostealer finalizzato al furto di credenziali, è in diffusione con una nuova versione che ha ampliato le funzionalità del malware originario ed è capace di rubare credenziali da app di messaggistica, MS Outlook e Google Chrome e altri applicativi.
La nuova versione è già in uso in the wild, individuata nell'ambito di una campagna di phishing generica che ha colpito utenti in Turchia, Spagna, Russia, Lituania e Italia. La campagna è attiva, con alti e bassi, da metà Gennaio 2021 circa.
Individuata dai ricercatori di Cisco Talos, la nuova versione del trojan per utenti Windows usa un file HTML compilato: è da questo file .html che si origina la catena di infezione. Questo formato è tipicamente usato per il file Windows Help, tuttavia può contenere script attivi, come nel caso dei Javascript che lanciano operazioni malware.
Stando al report di Cisco Talos, gli operatori del malware usano un approccio multi modulare in questa campagna sin dal primo step, ovvero l'email di phishing. Questo approccio aiuta gli attaccanti ad eludere il rilevamento da parte delle soluzioni di sicurezza, ma è un'arma a doppio taglio: chi difende una rete sotto attacco con queste modalità avrà a disposizione molteplici opportunità per interrompere la catena di infezione, cercando di terminare i processi responsabili dei diversi stadi dell'attacco.
Fonte: Cisco Talos |
L'email vettore che ha colpito gli utenti spagnoli, ad esempio, contiene un allegato email integrato con codice Javascript offuscato per creare una pagina HTML. La pagina HTML, a sua volta, contiene un PowerShell che stabilisce una connessione con un server legittimo che recupera il loader per avviare il payload di MassLogger.
Nella versione attuale, MassLogger è capace di esfiltrare dati tramite FTP, SMTP o HTTP ma c'è anche una funzionalità aggiuntiva per il furto di client di messaggistica Pidgin, NordVPN, Discord, ThunderBird, Firefox, QQ Browser, Chrome, Edge, Brave e Opera.
La particolarità è invece che, nonostante MassLogger sia da sempre dotato di funzionalità di keylogging, queste risultano disabilitate nella campagna presente.
Nessun commento:
Posta un commento