Select Page

Mã độc Masslogger

Mã độc Masslogger

Masslogger – một mã độc trojan nổi tiếng chuyên đánh cắp thông tin đăng nhập, thường nhắm mục tiêu đến các hệ thống Windows vừa xuất hiện trong một chiến dịch lừa đảo mới, nhằm mục đích đánh cắp thông tin đăng nhập từ Microsoft Outlook, Google Chrome và hàng loạt ứng dụng nhắn tin phổ biến hiện nay.

Chủ yếu nhắm vào người dùng ở Thổ Nhĩ Kỳ, Latvia và Ý bắt đầu từ giữa tháng 1, các cuộc tấn công này về cơ bản có liên quan đến việc sử dụng MassLogger – một phần mềm độc hại dựa trên nền tảng .NET có khả năng cản trở quy trình phân tích tĩnh (static analysis).

Qua phân tích ban đầu, các chuyên gia nhận định có sự tương đồng rõ rệt giữa các cuộc tấn công mới này với một chiến dịch trước đó nhắm tới người dùng tại Bulgaria, Lithuania, Hungary, Estonia, Romania và Tây Ban Nha vào tháng 9, 10 và 11 năm 2020. Sự tương đồng đến từ cả cách thức tấn công lẫn tác nhân độc hại.

MassLogger lần đầu tiên được phát hiện vào tháng 4 năm ngoái và liên tục làm mưa làm gió từ thời điểm đó. Tuy nhiên, biến thể MassLogger được phát hiện gần đây là một “bản nâng cấp” hoàn toàn mới, khiến chúng trở nên nguy hiểm và khó ứng phó hơn.

Mặc dù các hoạt động của trojan Masslogger đã được ghi chép lại tương đối đầy đủ trước đây, nhưng chúng tôi nhận thấy sự khác biệt đáng kể trong chiến dịch lần này. Đơn cử như việc mã độc sử dụng định dạng tệp HTML đã biên dịch để bắt đầu chuỗi lây nhiễm“, các nhà nghiên cứu của Cisco Talos, nhóm đang chịu trách nhiệm theo dõi hoạt động của Masslogger, cho biết.

HTML được biên dịch (hoặc .CHM) là một định dạng trợ giúp trực tuyến độc quyền do Microsoft phát triển, và được sử dụng để cung cấp thông tin tham khảo dựa trên chủ đề.

Làn sóng tấn công mới bắt đầu bằng những email lừa đảo chứa các dòng tiêu đề “trông hợp pháp” và được ngụy trang cực kỳ tinh vi, có vẻ liên quan đến một doanh nghiệp cụ thể.

Bất kể chủ đề là gì, các tệp đính kèm trong email giả mạo đều tuân theo cùng một định dạng: Tệp RAR có tiêu đề khá dài với nhiều chuỗi ký tự khác nhau (ví dụ: “70727_YK90054_Teknik_Cizimler.R09”).

hình ảnh mã độc masslogger

Thông báo “Customer service”.

Các tệp đính kèm này chứa một tệp HTML được biên dịch duy nhất, khi mở ra, sẽ hiển thị thông báo “Customer service” (Dịch vụ khách hàng), nhưng trên thực tế được nhúng với mã JavaScript xáo trộn để tạo trang HTML, từ đó chứa trình download PowerShell để kết nối với máy chủ hợp pháp và tìm nạp trình tải chịu trách nhiệm cuối cùng cho việc khởi chạy tải trọng mã độc MassLogger.

Bên cạnh việc trích xuất dữ liệu tích lũy qua SMTP, FTP hoặc HTTP, phiên bản mới nhất của MassLogger (phiên bản 3.0.7563.31381) còn được bổ sung khả năng lấy cắp thông tin đăng nhập từ ứng dụng nhắn tin Pidgin, Discord, NordVPN, Outlook, Thunderbird, Firefox, QQ Browser và các trình duyệt dựa trên Chromium như Chrome, Edge, Opera và Brave.

About The Author

Pao Pevil

Cuộc sống này đối với tôi là màu đen tối vô tận. Đen tối đó che chở, bảo vệ và tôi tôn thờ nó. Ánh sáng có thể cho chúng ta sự sống, nhưng đêm tối mới cho chúng ta sự vĩnh hằng. Máu thịt tôi là Quỷ dữ, tôi muốn sống với cội gốc của mình. Linh hồn tôi là Bóng tối, tôi muốn là chính tôi.

Leave a Reply

Nhận tin mới

Nhận bài viết, thông tin mới qua Email bằng cách nhập Email của bạn vào ô dưới.

Sản phẩm khác

Logo Sách Cũ Org

SachCu.Org - Nghiên cứu sách cũ, lịch sử và nghệ thuật xưa.



Logo AquaFish Org

AquaFish.Org - Nghiên cứu về Sinh cảnh động thực vật, thủy sinh.



Logo God Codex

GodCodex.Org - Nghiên cứu về Quỷ học, Siêu nhiên và ma thuật cổ xưa.