Trojan Masslogger đánh cắp thông tin đăng nhập Outlook, Chrome

February 19, 2021

Một biến thể của Trojan Masslogger đang được sử dụng trong các cuộc tấn công nhằm đánh cắp thông tin đăng nhập tài khoản dịch vụ Messenger, Google Chrome và Microsoft Outlook.


Các nhà nghiên cứu của Cisco Talos cho biết chiến dịch hiện đang tập trung vào các nạn nhân ở Thổ Nhĩ Kỳ, Latvia và Ý. Trước đó, trong chiến dịch cuối năm 2020, mã độc nhắm mục tiêu đến người dùng ở Tây Ban Nha, Bulgaria, Lithuania, Hungary, Estonia và Romania.

[​IMG]

 Có vẻ như các mục tiêu được thay đổi gần như hằng tháng.


Masslogger lần đầu tiên được phát hiện vào tháng 4 năm 2020 trên các diễn đàn ngầm. Tuy nhiên, biến thể mới được Talos coi là “đáng chú ý” do sử dụng định dạng tệp HTML mở rộng để kích hoạt chuỗi lây nhiễm.


Hacker thực hiện tấn công theo hình thức gửi email lừa đảo. Các tin nhắn giả với nội dung liên quan đến công việc và chứa file đính kèm dạng .RAR.


Nếu nạn nhân mở tệp đính kèm, file này sẽ được chia thành các kho lưu trữ với phần mở rộng “r00”, một tính năng mà các nhà nghiên cứu cho rằng đó là cách “vượt qua các chương trình chặn tệp đính kèm dựa trên phần mở rộng “.
File HTML mở rộng (.CHM) – định dạng mặc định cho các tệp Trợ giúp Windows hợp pháp – sau đó được trích xuất, tệp này chứa tệp HTML khác với mã JavaScript được nhúng. Ở mỗi giai đoạn, mã bị xáo trộn và cuối cùng dẫn đến một tập lệnh PowerShell được triển khai có chứa trình tải Masslogger.


Biến thể Trojan Masslogger, được thiết kế cho máy Windows và được viết bằng .NET, sau đó sẽ bắt đầu lọc thông tin đăng nhập của người dùng và không kén chọn mục tiêu – cả người dùng gia đình và doanh nghiệp đều gặp rủi ro.
Sau khi được lưu trữ trong bộ nhớ dưới dạng bộ đệm, được nén bằng gzip, phần mềm độc hại bắt đầu thu thập thông tin đăng nhập. Microsoft Outlook, Google Chrome, Firefox, Edge, NordVPN, FileZilla và Thunderbird là những ứng dụng bị Trojan nhắm mục tiêu.

Thông tin bị đánh cắp có thể được gửi qua các kênh SMTP, FTP hoặc HTTP. Thông tin được tải lên máy chủ lọc bao gồm tên người dùng PC của nạn nhân, ID quốc gia, ID máy và dấu thời gian, cũng như các bản ghi liên quan đến các tùy chọn cấu hình và quy trình đang chạy.


Talos cho biết: “Chiến dịch gần như đã được hoàn thành và chỉ để lại một chút dấu vết trong bộ nhớ, điều này khẳng định tầm quan trọng của việc tiến hành quét bộ nhớ thường xuyên. Thành phần duy nhất hiện còn trên đĩa là tệp đính kèm và tệp trợ giúp HTML mở rộng”.


Các nhà nghiên cứu lưu ý rằng Masslogger cũng có thể hoạt động như một keylogger, nhưng trong biến thể này, có vẻ như chức năng keylogging đã bị vô hiệu hóa.


Cisco Talos tin rằng việc tấn công có liên quan tới việc sử dụng Trojan AgentTesla, Formbook và AsyncRAT trong quá khứ.

BTV DSH