Обновленная версия трояна Masslogger теперь маскируется под безобидный файл справки Windows

Исследователями группы Cisco Talos была обнаружена обновленная версия шпионского ПО Masslogger. Первые упоминания о вредоносе, нацеленного на пользователей ОС Windows, появились еще в апреле прошлого года, география его распространения расширяется пока что в пределах стран Европы. Троян принадлежит к категории шпионского ПО, предназначенного для кражи учетных данных пользователей из различных приложений, таких как браузеры, почтовые клиенты и мессенджеры.

Обновленная версия Masslogger теперь попадает на ПК жертвы из вложения фишингового письма: файла формата CHM (скомпилированный HTML-файл), заключенного в томе многотомного архива RAR. Злоумышленники, очевидно, использовали данный формат в том числе для маскировки, так как обычно он стандартно используется в работе справки Windows. Однако такие файлы могут содержать активные скрипты, которые впоследствии инициируют заражение. Как комментируют специалисты Cisco Talos, при настройке фильтрации входящей электронной почты на основе имени или типа вложения многие организации не рассматривают файлы формата CHM как исполняемые, поэтому более вероятно, что они будут обходить фильтрацию.

В случае с Masslogger при открытии скомпилированного HTML-файла запускается вредоносный код, написанный на JavaScript. В результате инициируется выполнение сценария PowerShell для установки соединения с удаленным сервером и загрузки основного загрузчика PowerShell. Как правило, загрузка происходит с легитимного скомпрометированного хоста из файла с расширением JPG, содержащего одну букву и одно число в имени (например, может использоваться URL «hxxp://sinetcol[.]co/D7.jpg»). По итогу в памяти в виде буфера размещается полезная нагрузка Masslogger, что в результате приводит к извлечению и передаче злоумышленникам учетных данных жертвы из различных источников. В настоящее время вредонос похищает учетные данные из приложений Pidgin, FileZilla, Discord, NordVPN, Outlook, FoxMail, Mozilla Thunderbird, FireFox, QQ Browser и браузеров на базе Chromium (Chrome, Chromium, Edge, Opera, Brave).

Стоит отметить, что практически каждый этап заражения трояном, за исключением первоначального вложения к электронному письму, является бесфайловым и происходит только в энергозависимой памяти. Кроме того, каждая стадия заражения обфусцирована, что затрудняет обнаружение Masslogger с помощью простых сигнатур.  

С более детальным описанием трояна можно ознакомиться на официальном сайте группы Cisco Talos.

Специалисты Cisco Talos также рекомендуют пользователям настроить аудит PowerShell, включив регистрацию событий загрузки модулей и регистрацию  блоков сценариев, поскольку они будут отображать исполняемый код в его деобфусцированном формате.

Центр киберустойчивости Angara Cyber Resilience Center (ACRC) готов предложить своим клиентам услугу по мониторингу событий информационной безопасности, в рамках которой осуществляются работы по мониторингу событий ИБ, выявлению и предварительному расследованию подозрительных событий. Благодаря возможности оказания услуг по модели подписки предложение может быть доступно даже небольшому бизнесу.

«Корректная настройка и дополнительный хардеринг встроенных механизмов аудита операционных систем семейства MS Windows или GNU\Linux играют важную роль в обеспечении информационной безопасности организации. Регистрация и систематический регулярный анализ регистрируемых событий позволяют обнаруживать, а иногда и предотвращать попытки несанкционированного доступа к информации, а также другую подозрительную, нежелательную или нелегитимную активность, и отслеживать изменения контролируемых объектов информационной инфраструктуры организации в целом», – отмечает директор Центра киберустойчивости ACRC Тимур Зиннятуллин.

Чтобы снизить вероятность успешных атак через фишинговые рассылки, также рекомендуется повышать цифровую грамотность работников.  С этой целью Angara Professional Assistance предлагает своим клиентам услугу «Антифишинг».

Подробную информацию о платформе и портфеле услуг ACRC можно найти на нашем сайте в разделе «ACRC(SOC)», об услуге «Антифишинг» – в разделе «MSSP», блок «АНТИФИШИНГ», а также получить у менеджеров компании Angara Professional Assistance по e-mail info@angarapro.ru или телефону 8 (495) 269-26-06.