NOVO TROJAN (MALWARE) PROJETADO PARA WINDOWS ESTÁ REALIZANDO UM SPRAY AND PRAY ATTACK MASSIVO
ALVOS: Microsoft Outlook, Google Chrome, Firefox, Edge, NordVPN, FileZilla, and Thunderbird
"Uma variante do Trojan Masslogger está sendo usada em ataques projetados para roubar o Microsoft Outlook, o Google Chrome e as credenciais da conta do serviço de mensagens.
Na quarta-feira, pesquisadores de cibersegurança da Cisco Talos disseram que a campanha está atualmente focada em vítimas na Turquia, Letônia e Itália, expandindo as atividades documentadas no final de 2020 que visavam usuários na Espanha, Bulgária, Lituânia, Hungria, Estônia e Romênia.
Parece que as metas mudam quase mensalmente.
Os agentes de ameaças iniciam seus ataques de uma maneira típica, que é por meio de e-mails de phishing. Nessa onda de ataques, as mensagens de phishing se disfarçam como consultas comerciais e contêm anexos .RAR.
Se uma vítima abre o anexo, eles são divididos em arquivos de vários volumes com a extensão "r00", um recurso que os pesquisadores acreditam que pode ser um esforço para "contornar qualquer programa que bloqueie [um] anexo de e-mail com base em sua extensão de arquivo. "
Um arquivo HTML compilado, .CHM - o formato padrão para arquivos legítimos de Ajuda do Windows - é então extraído, o qual contém um outro arquivo HTML com código JavaScript embutido. Em cada estágio, o código é ofuscado e, eventualmente, leva à implantação de um script do PowerShell que contém o carregador Masslogger.
A variante do cavalo de Troia Masslogger, projetada para máquinas Windows e escrita em .NET, começará a extrair as credenciais do usuário e não será exigente em seus alvos - tanto os usuários domésticos quanto as empresas correm risco, embora pareça que as operadoras estão se concentrando no último.
Depois de ser armazenado na memória como um buffer, compactado com gzip, o malware começa a coletar credenciais. Microsoft Outlook, Google Chrome, Firefox, Edge, NordVPN, FileZilla e Thunderbird estão entre os aplicativos visados pelo Trojan."
"As informações roubadas podem ser enviadas por meio de canais SMTP, FTP ou HTTP. As informações carregadas para um servidor de extração o incluem o nome de usuário do PC da vítima, ID do país, ID da máquina e um carimbo de data / hora, bem como registros relacionados às opções de configuração e processos em execução.
“A campanha observada é quase totalmente executada e está presente apenas na memória, o que enfatiza a importância da realização de varreduras de memória regulares e de fundo”, diz Talos. "O único componente presente no disco é o anexo e o arquivo de ajuda HTML compilado."
Os pesquisadores observam que o Masslogger também é capaz de atuar como um keylogger, mas nesta variante, parece que a funcionalidade de keylogger foi desativada."
FONTE: ZDNET
Na quarta-feira, pesquisadores de cibersegurança da Cisco Talos disseram que a campanha está atualmente focada em vítimas na Turquia, Letônia e Itália, expandindo as atividades documentadas no final de 2020 que visavam usuários na Espanha, Bulgária, Lituânia, Hungria, Estônia e Romênia.
Parece que as metas mudam quase mensalmente.
Os agentes de ameaças iniciam seus ataques de uma maneira típica, que é por meio de e-mails de phishing. Nessa onda de ataques, as mensagens de phishing se disfarçam como consultas comerciais e contêm anexos .RAR.
Se uma vítima abre o anexo, eles são divididos em arquivos de vários volumes com a extensão "r00", um recurso que os pesquisadores acreditam que pode ser um esforço para "contornar qualquer programa que bloqueie [um] anexo de e-mail com base em sua extensão de arquivo. "
Um arquivo HTML compilado, .CHM - o formato padrão para arquivos legítimos de Ajuda do Windows - é então extraído, o qual contém um outro arquivo HTML com código JavaScript embutido. Em cada estágio, o código é ofuscado e, eventualmente, leva à implantação de um script do PowerShell que contém o carregador Masslogger.
A variante do cavalo de Troia Masslogger, projetada para máquinas Windows e escrita em .NET, começará a extrair as credenciais do usuário e não será exigente em seus alvos - tanto os usuários domésticos quanto as empresas correm risco, embora pareça que as operadoras estão se concentrando no último.
Depois de ser armazenado na memória como um buffer, compactado com gzip, o malware começa a coletar credenciais. Microsoft Outlook, Google Chrome, Firefox, Edge, NordVPN, FileZilla e Thunderbird estão entre os aplicativos visados pelo Trojan."
"As informações roubadas podem ser enviadas por meio de canais SMTP, FTP ou HTTP. As informações carregadas para um servidor de extração o incluem o nome de usuário do PC da vítima, ID do país, ID da máquina e um carimbo de data / hora, bem como registros relacionados às opções de configuração e processos em execução.
“A campanha observada é quase totalmente executada e está presente apenas na memória, o que enfatiza a importância da realização de varreduras de memória regulares e de fundo”, diz Talos. "O único componente presente no disco é o anexo e o arquivo de ajuda HTML compilado."
Os pesquisadores observam que o Masslogger também é capaz de atuar como um keylogger, mas nesta variante, parece que a funcionalidade de keylogger foi desativada."
FONTE: ZDNET