نسخه جدید MassLogger Trojan برای سرقت اطلاعات Chrome

نسخه جدیدی از اعتبار‌نامه بدنام که trojan نام دارد، در یک کمپین فیشینگ در سرقت هویت از برنامه‌ها، برنامه‌های مایکروسافت، و گوگل کروم ظاهر شده‌ است.

نسخه جدید Trojan با استفاده از یک قالب فایل HTML کامپایل شده، که زنجیره عفونت را آغاز می‌کند و کاربران ویندوز را مورد هدف قرار می‌دهد، که به طور معمول برای پرونده‌های راهنمای ویندوز استفاده می‌شود، با این حال ممکن است شامل اجزای فعال اسکریپت نیز باشد که در این حالت JavaScript است که عملیات بدافزار را راه اندازی کرده است.

این فعالیت‌ها در چندین کشور فعال بودند که توسط محققان کشف شد و آن‌ها دریافتند که این فعالیت عمدتاً بر کاربران ترکیه، اسپانیا، روسیه، و لتونی تاثیر می‌گذارد.

به گفته محققان، نسخه MassLogger فایل‌های مخرب RAR را در ابتدای زنجیره عفونت پنهان می‌کند که اقدامی جدیدی از سوی اپراتورها است، این به ابزارهای شناسایی بدافزار کمک می‌کند تا بتوانند پیوست‌های ایمیل مبتنی بر پسوند RAR را مسدود کنند.

بر اساس یک پست وبلاگ منتشر شده توسط محققان، اپراتور بدافزار یک رویکرد چند پیمانه‌ای را در این فعالیت از اولین مرحله ارسال ایمیل (فیشینگ) برای حذف بار نهایی بکار می‌گیرد، اگرچه این کار به آن‌ها اجازه فرار از تشخیص را می‌دهد، اما می‌تواند یک ضعف باشد زیرا مدافعان فرصت‌های زیادی برای شکستن زنجیره کشتار بدست خواهند آورد.

ایمیل فیشینگ حاوی یک خط سوژه دقیق مرتبط با یک کسب‌وکار است، به عنوان مثال یکی از ایمیل‌های ارسال‌شده به کاربران ترکیه ” استعلام مشتری داخلی ” را داشت.

بعداً، اپراتورها ایمیل‌هایی را به صورت “یادداشت تفاهم” ارسال کردند که گیرندگان را مجبور به امضای سند می‌کردند.

 این ایمیل‌ها برای ایجاد صفحه HTML با کد جاوا اسکریپت مبهم تعبیه شده‌اند، این صفحه حاوی یک فایل دانلود شونده‌ای است که اتصال را با یک سرور قانونی ایجاد کرده و بارکننده راه‌انداز را به فروش می‌رساند تا MassLogger را راه‌اندازی کند.

MassLogger جاسوسی است که می‌تواند اعتبار کاربر را از سیستم‌عامل‌های مختلف، از جمله Chrome و Outlook بکشد، بدافزار مبتنی بر NET که می‌تواند مانع تجزیه و تحلیل ایستا شود، با این حال نوع جدید، بسیار قدرتمندتر است زیرا نویسندگان بدافزار با موفقیت آن را برای جلوگیری از شناسایی، مجدداً نصب کردند.

در مبارزات اخیر، جدای از انعطاف‌پذیری داده‌ها از طریق FTP ،SMTP یا HTTP، آخرین نسخه MassLogger ۳.۰.۷۵۶۳.۳۱۳۸۱ یک قابلیت اضافی از pilferin client Pidgin ،NordVPN ،Discord g ،Thunderbird، مرورگر فایرفاکس، Chrome ،Edge، اپرا و credentials را نشان می‌دهد.

محققان به کاربران توصیه کردند که سیستم خود را برای ثبت وقایع PowerShell مانند بارگذاری ماژول و بلوک‌های اسکریپت اجرا شده، زمانی که کدهای اجرا شده را در قالب مشخصش نشان می‌دهند، پیکربندی کنند.