Výskumníci z tímu Cisco Talos upozornili na modifikovaný variant spyvéru MassLogger, ktorý má byť aktívny od polovice januára. Malvér kradne údaje z chatovacích aplikácií či prehliadačov a má vlastnosti, ktoré bránia statickej analýze.
Cieľmi záškodníkov sa stali používatelia operačného systému Windows prevažne v Turecku, Litve či Taliansku.
Záškodníci v snahe obísť detekciu uplatňujú naprieč celou schémou útoku viacmodulárny prístup. Ako podotýkajú výskumníci, tento prístup zároveň vytvára množstvo okien pre narušenie celého killchainu.
Obete sú lákané na legitímne vyzerajúce maily, ktorých predmet správy súvisí s podnikaním. Niektoré mali napríklad obsahovať „memorandum o porozumení“, ktoré vyžadovalo podpis od prijímateľa správy.
Prílohy v mailoch vo formáte RAR obsahujú .CHM súbor, ktorý po otvorení zobrazí HTML stránku s nápisom „Zákaznícky servis, prosím počkajte…“.
Správa obsahuje vsadený aktívny objekt – obfuskovaný kód PowerShell. Sťahovač PowerShell napokon zavolá metódu, ktorá sa spojí s volatilnou pamäťou zariadenia, v ktorej uloží a spustí škodlivý kód.
Hlavným účelom MassLoggera je získavanie citlivých údajov od bežných a podnikových užívateľov. Jeho nová verzia obsahuje dodatočnú funkciu, ktorá sa zameriava na krádež údajov z platforiem ako Discord, Outlook či takmer všetkých webových prehliadačov.
Malvér môže byť taktiež nakonfigurovaný ako keylogger, nástroj na zaznamenávanie stlačených klávesov. Ako však poznamenali výskumníci, v danom prípade autori túto funkciu deaktivovali.
Klára Kaničárová