dans ,

Nouvelle variante du cheval de Troie MassLogger volant des données Chrome et Outlook

MassLogger a été découvert à l’origine en avril 2020.

Une nouvelle version du tristement célèbre cheval de Troie voleur d’informations d’identification appelé MassLogger a refait surface dans une campagne de phishing volant les informations d’identification des applications de messagerie instantanée, MS Outlook et Google Chrome.

La nouvelle version du cheval de Troie cible les utilisateurs Windows en utilisant un format de fichier HTML compilé, qui initie la chaîne d’infection. Ce format est généralement utilisé pour les fichiers d’aide Windows. Cependant, il peut également contenir des composants de script actifs, qui dans ce cas est JavaScript qui a lancé les opérations de malware.

Campagne active dans plusieurs pays

La campagne a été découverte par les chercheurs de Cisco Talos qui ont appris qu’elle affectait principalement les utilisateurs en Turquie, en Espagne, en Russie, en Italie et en Lettonie. La campagne est active depuis la mi-janvier.

Selon les chercheurs, la variante MassLogger déguise ses fichiers RAR malveillants au début de la chaîne d’infection, un nouveau mouvement des opérateurs. Cela aide les logiciels malveillants à contourner les outils de détection qui peuvent potentiellement bloquer les pièces jointes aux e-mails basés sur l’extension RAR.

Opérateurs de logiciels malveillants utilisant une approche multi-modulaire

Selon un article de blog publié par des chercheurs, le ou les opérateurs de logiciels malveillants utilisent une approche multi-modulaire dans cette campagne dès la première étape de l’e-mail de phishing jusqu’à la suppression de la charge utile finale. Bien que cela leur permette d’échapper à la détection, cela pourrait être une faiblesse car les défenseurs auront de nombreuses occasions de briser la chaîne de destruction.

L’e-mail de phishing contient une ligne d’objet d’apparence légitime liée à une entreprise. Par exemple, l’un des e-mails envoyés aux utilisateurs turcs avait pour objet « Enquête client national ».

Plus tard, les opérateurs ont envoyé des courriers électroniques sous la forme d’un «protocole d’accord» obligeant les destinataires à signer le document.

Les e-mails sont intégrés avec du code JavaScript obscurci pour créer une page HTML. Cette page contient un PowerShell téléchargé qui établit une connexion avec un serveur légitime et récupère le chargeur pour lancer la charge utile MassLogger.

E-mail de phishing contenant des victimes ciblées par le cheval de Troie MassLogger en Espagne

Qu’est-ce que MassLogger?

Il s’agit d’un logiciel espion qui peut faire glisser les informations d’identification des utilisateurs à partir de diverses plates-formes, notamment Chrome et Outlook. La nouvelle variante est un. Les logiciels malveillants basés sur NET qui peuvent entraver l’analyse statique. Il a été repéré pour la première fois à l’état sauvage en avril 2020 . Cependant, la nouvelle variante est beaucoup plus puissante car les auteurs de logiciels malveillants l’ont rééquipée avec succès pour échapper à la détection.

Comment ça marche?

Dans la campagne actuelle, outre l’exfiltration de données via FTP, SMTP ou HTTP, la dernière version de la variante MassLogger 3.0.7563.31381 propose une fonctionnalité supplémentaire de pillage du client de messagerie Pidgin, NordVPN, Discord, Thunderbird, Firefox, navigateur QQ, Chrome, Edge, Opera et Brave informations d’identification.

Il faut se méfier;  MassLogger Trojan vole des données de Chrome, Outlook

Le malware peut être configuré en tant que keylogger, mais cette fonctionnalité est désactivée dans la campagne actuelle.

«Les utilisateurs sont invités à configurer leurs systèmes pour la journalisation des événements PowerShell tels que le chargement de modules et les blocs de script exécutés car ils afficheront le code exécuté dans son format désobfusqué», ont conseillé les chercheurs de Cisco Talos.

Si vous aimez le contenu et souhaitez soutenir l’amélioration du site,
pensez à apporter votre contribution en cliquant ici s’il vous plaît ! CE N’EST PAS OBLIGATOIRE, MERCI! : ‘)

Qu'est-ce que tu penses?

Écrit par MrBot

Comments

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Loading…

0
Paye moi un café pour mon taf .

Buy me a coffee

[USA] Une vidéo déchirante montre des flics tuant une maman alors que ses deux tout-petits hurlent d’horreur

[LA FRANCE VU DU MONDE] Si vous pensiez que la guerre de la culture aux États-Unis et au Royaume-Uni était stupide, consultez la France