بر اساس گزارشهای منتشر شده تروجان سرقت کننده اطلاعات MassLogger که در گذشته سیستمهای ویندوز را مورد هدف قرار میداد، به تازگی در یک کمپین جدید فیشینگ ظاهر شده است که هدف آن سرقت اطلاعات از اوتلوک مایکروسافت، گوگل کروم و برنامههای پیامرسان است.
این کمپین فیشینگ که از اواسط ماه ژانویه آغاز شده، کاربران کشورهای ترکیه، لاتویا و ایتالیا را مورد هدف قرار داده است.
ابزار اصلی مورد استفاده در این حملات بدافزار MassLogger است که اولین بار در ماه آوریل شناسایی شده، اما ظهور نسخه جدید این بدافزار نشان میدهد که توسعهدهندگان آن دائما در حال تلاش برای توسعه و اضافه کردن قابلیتهای جدید از جمله جلوگیری از شناسایی شدن این بدافزار و کسب درآمد از طریق آن هستند.
با وجود اینکه عملیاتهای پیشین تروجان MassLogger بهطور کامل ثبت شدهاند، این کمپین جدید از آنجایی که از فرمت فایل compiled HTML برای آغاز زنجیره آلودهسازی استفاده میکند، نسبتا قابل توجه است.
فایل Compiled HTML (یا .CHM) یک فرمت کمک آنلاین (online help) اختصاصی است که توسط شرکت مایکروسافت برای ارائه اطلاعات مرجع و آموزشی استفاده میشود.
این موج جدید حملات با پیامهای جعلی که در ظاهر به نظر میرسد مرتبط با یک کسبوکار هستند، آغاز میشود.
در این ایمیلها پیوستهایی وجود دارد که در آنها یک فایل compiled HTML قرار دارد. این فایل هنگام باز شدن پیغام «Customer service» را به قربانی نمایش میدهد، اما در واقع در این فایل، کد مبهمسازی شده جاوا اسکریپت جاسازی شده تا یک صفحه HTML را ایجاد کند که حاوی یک دانلود کننده پاورشل به منظور اتصال به یک سرور و دانلود بارگذار اجراکننده پیلود MassLogger است.
آخرین نسخه از تروجان MassLogger (نسخه 3.0.7563.31381) علاوه بر استخراج داده از طریق SMTP، FTP و HTTP، دارای قابلیتهایی به منظور سرقت اطلاعات از پیامرسان پیجین، برنامه دیسکورد، NordVPN, آوتلوک، تاندربرد، فایرفاکس، QQ Browser و مرورگرهای مبتنی بر کرومیوم از جمله کروم، اپرا، مایکروسافت ادج و بریو است.
توضیحات بیشتر:
- Masslogger Trojan Upgraded to Steal All Your Outlook, Chrome Credentials