MassLogger es un troyano diseñado en .NET cuya finalidad es robar credenciales de Outlook, Chrome y aplicaciones de mensajería instantánea.
Conocido por afectar durante el 2020 a Bulgaria, Lituania, Hungría, Estonia, Rumanía y España, a mediados de enero de este 2021 aumentó su alcance a Turquía, Letonia e Italia.
Fue detectado por primera vez en abril del 2020 y la reciente actualización indica que los programadores de este malware no van a parar de reestructurarlo para poder maximizar los ingresos generados.
«Aunque las operaciones de MassLogger han sido documentadas con anterioridad esta nueva campaña destaca por utilizar el formato HTML compilado para iniciar la infección.» Explicaban investigadores de Cisco.
El formato HTML compilado o CHM es un formato muy popular usado para almacenar documentación de software y documentos de ayuda. Estos archivos pueden contener código malicioso que puede ser ejecutado posteriormente.
Esta nueva campaña se propaga mediante correos electrónicos que incitan a los usuarios a hacer click y descargar el contenido. Alguno de los correos tienen como asunto «Consulta de un cliente nacional» o «memorando de entendimiento».
Los archivos adjuntos vienen comprimidos con la extensión .R09 en un intento por evitar el bloqueo de archivos .RAR. Aunque no es habitual encontrar este tipo de compresión, no supone un problema a la hora de abrirlo con cualquier software de compresión de datos.
Dentro del volumen comprimido encontramos nuestro archivo HTML compilado, que al abrirlo muestra un mensaje que dice: «Servicio al cliente», aunque viene incrustado con código JavaScript ofuscado para crear una página HTML, que a su vez contiene un downloader de PowerShell para conectarse a un servidor legítimo y buscar el cargador responsable del lanzamiento MassLogger.
En esta última versión del troyano se ha detectado una funcionalidad para robar credenciales pertenecientes a aplicaciones de mensajería tales como Pidgin, Discord, NordVPN, Outlook, Thunderbird, Firefox, QQ Browser y Chromium- navegadores basados en Chrome, Edge, Opera y Brave.
«Se aconseja a los usuarios que configuren sus sistemas para registrar eventos de PowerShell, como la carga de módulos y los bloques de secuencias de comandos ejecutados, ya que mostrarán el código ejecutado en su formato desofuscado«, concluyeron los investigadores de Cisco.
Fuentes y más información
https://blog.talosintelligence.com/2021/02/masslogger-cred-exfil.html
https://thehackernews.com/2021/02/masslogger-trojan-upgraded-to-steal-all.html
Comentarios recientes