Un nou troian atacă utlizatorii din mai multe ţări, inclusiv România. Virusul fură parole din Google Chrome şi Outlook

Economica.net
21 02. 2021
password_900_47789300

O nouă versiune a troianului foloseşte acum un format de fișier HTML compilat (CHM) pentru a începe lanțul de infectare. Se pare că ţintele lor se schimbă aproape lunar.

Masslogger a fost văzut pentru prima dată în aprilie 2020 în baza acordurilor de licențiere convenite în forumurile subterane. Cu toate acestea, noua variantă este considerată „notabilă” de Talos datorită utilizării unui format de fișier HTML compilat pentru a declanșa un lanț de infecție.

Atacatorii își încep atacurile într-un mod tipic, prin e-mail-uri phishing. În acest val de atac, mesajele de phishing se maschează ca interogări legate de afaceri și conțin atașamente .RAR.

Exemplu din Spania

Când varianta Masslogger și-a lansat lanțul de infectare, și-a mascat fișierele RAR rău intenționate ca fișiere HTML compilate (CHM). Aceasta este o nouă mișcare pentru Masslogger și ajută malware-ul să ocolească potențialele programe defensive, care altfel ar bloca atașamentul de e-mail pe baza extensiei sale de fișiere RAR.

Misiunea Masslogger este de a viza și de a fura credențialele din următoarele aplicații: Pidgin (un client de mesagerie instantaneu multiplată gratuită și open-source), clientul FileZilla File Transfer Protocol (FTP), platforma de discuții de grup Discord, NordVPN, Outlook, FoxMail, Firefox, Thunderbird, QQ Browser și browsere bazate pe Chromium (Chrome, Chromium, Edge, Opera și Brave).

Ţintele sale – atât utilizatorii casnici, cât și companiile sunt expuse riscului, deși se pare că atacatorii se concentrează asupra celor din urmă.

Cisco Talos consideră că, pe baza indicatorilor de compromis (IoC), atacatorii cibernetici pot fi, de asemenea, legați de utilizarea anterioară a troienilor AgentTesla, Formbook și AsyncRAT.