Dmechant Malware

En potent infostealer-malware distribueres via agn-e-mail-beskeder, der bærer våbenbevægelser i Word. Lokke-e-mails foregiver at komme fra en indkøbschef om detaljerne i en formodet ordre. E-mailen opfordrer den intetanende bruger til at gennemse detaljerne i en vedhæftet Word-fil, før de bekræftes. Som det typisk er tilfældet, har Word-dokumentet en beskadiget makro i sig, der leverer en malware-nyttelast til offerets system. Den observerede malware ser ud til at være en unik skabelse, der ikke er forbundet med nogen af de forudoprettede malware-familier. Det fungerer som en krypto-tegnebog og legitimationsoplysninger. Infosec-forskerne, der først opdagede truslen, kaldte den dmechant Malware.

Et underligt aspekt af kampagnen er, at indholdet af Word-dokumentet er skrevet på spansk helt. Hvis dette betyder, at angriberne overvejende er interesseret i spansktalende lande, eller hvis de har dedikerede lokke-e-mails til forskellige territorier, kan det ikke bestemmes i øjeblikket. Selve teksten foregiver som om indholdet af Word-dokumentet ikke kan vises på grund af versionskompatibilitet og beder det potentielle offer om at klikke på knappen 'Aktiver indhold'. Hvis du gør det, starter udførelsen af dmechant-malware med det samme.

Den indledende fase af dmechants aktivitet

Dmechant-nyttelastfilen droppes på det kompromitterede system som 'erbxcb.exe', en eksekverbar fil, der foregiver at være et PDF-dokument. Efter udførelsen udfører nyttelasten flere forberedende handlinger, der tjener til at lette dens ægte usikre mål. For eksempel genererer nyttelasten en ny mappe på systemet med '% AppData% \ bplg' og flytter derefter sin vigtigste eksekverbare der. Derefter opretter det en vedholdenhedsmekanisme ved at tilføje den kopierede fil til den automatisk kørte gruppe i systemregistret. Malwaren indlæser også en dekomprimeret fil med navnet% Temp% \ arwtfgxjpx80 i hukommelsen og kalder en funktion, der har til opgave at dekryptere den. Bagefter er truslen i stand til at udtrække en eksekverbar PE-fil helt i hukommelsen.

Oplysningerne indsamlet af dmechant

Den dmechant malware følger efter et bredt sæt følsomme private oplysninger såsom crypto-wallet adresser og kontooplysninger. Truslen ser ud til at være interesseret i at indsamle profiler fra kryptobøgerne, der overvejende er installeret på den kompromitterede enhed. Den er udstyret med ti foruddefinerede softwareforekomster, som den søger efter. Listen inkluderer Zcash, Armory, Bytecoin, Jaxx Liberty, Exodus, Ethereum, Electrum, Atomic, Guarda og Coinomi. Når der findes en passende krypto-tegnebog, fortsætter truslen med at kopiere hele mappen, der indeholder profildataene, og derefter slippe den i sin hjemmemappe på '% AppData% \ Microsoft \ Windows \ Templates.' Alle indsamlede oplysninger arkiveres som en ZIP-fil og eksfiltreres derefter til angriberne som en vedhæftet fil til e-mail.

Derudover forsøger dmechant også at få adgang til legitimationsoplysninger fra en liste med 28 foruddefinerede webbrowsere. Alle fundne data vil igen blive flyttet til hjemmemappen, men denne gang gemt i en nyligt genereret fil med navnet 'credentials.txt.' Blandt de målrettede browsere er Chrome, Vivaldi, Yandex, Opera, 360 Browser, Brave Browser, Kometa, Sputnik, Sleipnir 6, Edge Chromium og mere. Bortset fra browsere er dmechant malware også i stand til at kompromittere softwareklienter og indsamle gemte legitimationsoplysninger. Disse inkluderer Outlook, CoreFTP, FileZilla, NordVPN, FoxMail, Thunderbird og mere.