Un ladrón de credenciales famoso por apuntar a los sistemas Windows ha resurgido en una nueva campaña de phishing que tiene como objetivo robar credenciales de Microsoft Outlook, Google Chrome y aplicaciones de mensajería instantánea.
Dirigidos principalmente contra usuarios en Turquía, Letonia e Italia a partir de mediados de enero, los ataques implican el uso de MassLogger, un malware basado en .NET con capacidades para dificultar el análisis estático, que se basa en campañas similares realizadas por el mismo actor contra usuarios en Bulgaria. , Lituania, Hungría, Estonia, Rumania y España en septiembre, octubre y noviembre de 2020.
MassLogger se detectó por primera vez en la naturaleza en abril pasado, pero la presencia de una nueva variante implica que los creadores de malware están actualizando constantemente su arsenal para evadir la detección y monetizarlos.
«Aunque las operaciones del troyano Masslogger se han documentado previamente, encontramos que la nueva campaña destaca por usar el formato de archivo HTML compilado para iniciar la cadena de infección», dijeron el miércoles investigadores de Cisco Talos.
HTML compilado (o .CHM) es un formato de ayuda en línea patentado desarrollado por Microsoft que se utiliza para proporcionar información de referencia basada en temas.
La nueva ola de ataques comienza con mensajes de phishing que contienen líneas de asunto «de apariencia legítima» que parecen estar relacionadas con una empresa.
Uno de los correos electrónicos dirigidos a usuarios turcos tenía el asunto «Consulta de cliente nacional», y el cuerpo del mensaje hacía referencia a una cita adjunta. En septiembre, octubre y noviembre, los correos electrónicos tomaron la forma de un «memorando de entendimiento», instando al destinatario a firmar el documento.
Independientemente del tema del mensaje, los archivos adjuntos se adhieren al mismo formato: una extensión de nombre de archivo de varios volúmenes RAR (p. ej., «70727_YK90054_Teknik_Cizimler.R09») en un intento por evitar los intentos de bloquear los archivos adjuntos RAR utilizando su extensión de nombre de archivo predeterminada «.RAR».
Estos archivos adjuntos contienen un solo archivo HTML compilado que, cuando se abre, muestra el mensaje «Servicio al cliente», pero de hecho viene incrustado con un código JavaScript ofuscado para crear una página HTML, que a su vez contiene un descargador de PowerShell para conectarse a un servidor legítimo y busque el cargador responsable en última instancia de lanzar la carga útil de MassLogger.
Además de filtrar los datos acumulados a través de SMTP, FTP o HTTP, la última versión de MassLogger (versión 3.0.7563.31381) presenta la funcionalidad para robar credenciales del cliente de mensajería Pidgin, Discord, NordVPN, Outlook, Thunderbird, Firefox, QQ Browser y Chromium- navegadores basados en Chrome, Edge, Opera y Brave.
«Masslogger se puede configurar como keylogger, pero en este caso, el actor ha deshabilitado esta funcionalidad», señalaron los investigadores, y agregaron que el actor de amenazas instaló una versión del panel de control de Masslogger en el servidor de exfiltración.
Con la campaña ejecutada casi en su totalidad y presente solo en la memoria con la única excepción del archivo de ayuda HTML compilado, la importancia de realizar escaneos regulares de la memoria no se puede exagerar lo suficiente.
«Se recomienda a los usuarios que configuren sus sistemas para registrar eventos de PowerShell, como la carga de módulos y los bloques de secuencias de comandos ejecutados, ya que mostrarán el código ejecutado en su formato desofuscado», concluyeron los investigadores.
