Троян Masslogger похищает пароли из Chromium-браузеров и мессенджеров

Пт 19 Февраль 2021 08:35

Специалисты компании Cisco Talos обнаружили новую вредоносную кампанию, в ходе которой троян Masslogger похищает учетные данные браузеров на базе Chromium (Chrome, Chromium, Edge, Opera, Brave), Microsoft Outlook и программ обмена мгновенными сообщениями. Masslogger представляет собой программу для похищения учетных данных и кейлоггер, способный извлекать данные по протоколам SMTP, FTP или HTTP.

Последний вариант вредоносного ПО Masslogger доставляется через фишинговые письма и содержится в многотомном архиве RAR с использованием файлового формата .chm и расширений .r00. Подобная тактика используется в рамках кампании Masslogger, предположительно, для обхода любых программ, которые могут блокировать вложение электронной почты на основе расширения файла.

«CHM — скомпилированный HTML-файл, содержащий встроенный HTML-файл с JavaScript-кодом для запуска активного процесса заражения. Каждая стадия заражения скрыта, чтобы избежать обнаружения», — пояснили эксперты.

Вредоносная программа также пытается исключить себя из сканирования Защитника Windows. Второй этап заражения — PowerShell-скрипт, загружающий основной загрузчик Masslogger со скомпрометированных легитимных хостов в виде файла .jpg. Оттуда загрузчик развертывается и запускается.

«Судя по комбинации обнаруженных электронных писем и имен файлов, мы полагаем, что злоумышленники нацелены на организации в Турции, Латвии и Италии. Мы уже наблюдали подобные кампании осенью 2020 года. В предыдущих кампаниях преступники атаковали пользователей в Болгарии, Литве, Венгрии, Эстонии, Румынии и Испании», — отметили специалисты.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 15 лет 133 дня 9 часов 57 минут 20 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.