XPCTRA malware

XPCTRA Malware er en ny bank malware-stamme, der overvejende er implementeret mod Brazillian-brugere. De centrale aspekter, der forventes af en trussel af denne type, er også til stede her. XPCTRA kan indsamle brugeroplysninger fra flere finansielle institutioner, herunder to store brasilianske banker. Trusselens truende kapaciteter går langt ud over dette punkt, da det også kan høste legitimationsoplysninger til online digitale kryptobøger fra tjenester, herunder Blockchain.info, PerfectMoney og Neteller. Desuden opretter den en bagdørkanal ved at droppe en RAT (Remote Access Trojan).

I sin oprindelige angrebsvektor er XPCTRA afhængig af phishing-e-mails, der foregiver at have vigtige bankregninger til brugeren. Dette er naturligvis alt falsk, og når den formodede PDF-faktura udføres, downloades en truende dropper til brugerens computersystem i stedet. Dropperen fungerer som en første-trins nyttelast, der har til opgave at levere et .zip-arkiv, der indeholder den vigtigste XPCTRA-nyttelast.

Når det er inden i det målrettede system, fortsætter bank-malware med at skabe en persistensmekanisme for sig selv samt etablere et HTTP-proxyværktøj kaldet Fiddler. Dette værktøj giver XPCTRA mulighed for at overvåge og opfange brugerens adgang til de målrettede finansielle institutioner. Alle stjålne legitimationsoplysninger exfiltreres til hackernes Command-and-Control-server via en ukrypteret kommunikationskanal. Brugerens e-mail-tjenester som Microsoft Live, Terra, IG og Hotmail er også kompromitteret, og de opnåede kontaktlister bruges til at sprede truslen yderligere.

XPCTRA begrænser sig ikke udelukkende til legitimationstyveri. Det udvider sine truende kapaciteter ved at levere en RAT-infrastruktur (Remote Access Trojan) kendt som Quasar RAT til det kompromitterede offer. Via denne kanal kan hackerne downloade yderligere nyttelastmoduler, etablere keyloggers, exfiltrere valgte filer osv.