Dmechant मैलवेयर

एक शक्तिशाली सूचना-चोरी करने वाला मैलवेयर हथियारयुक्त वर्ड अटैचमेंट वाले बैट ईमेल संदेशों के माध्यम से वितरित किया जा रहा है। लुभावने ईमेल एक खरीद प्रबंधक से एक कथित आदेश के विवरण के बारे में आने का दिखावा करते हैं। ईमेल पहले से न सोचा उपयोगकर्ता से पुष्टि करने से पहले संलग्न वर्ड फ़ाइल में निहित विवरणों की समीक्षा करने का आग्रह करता है। जैसा कि आम तौर पर होता है, Word दस्तावेज़ के अंदर एक दूषित मैक्रो होता है, जो पीड़ित के सिस्टम में एक मैलवेयर पेलोड वितरित करता है। देखा गया मैलवेयर एक अद्वितीय निर्माण प्रतीत होता है जो पहले से स्थापित किसी मैलवेयर परिवार से संबद्ध नहीं है। यह एक क्रिप्टो-वॉलेट और क्रेडेंशियल कलेक्टर के रूप में कार्य करता है। इन्फोसेक के शोधकर्ताओं ने, जिन्होंने सबसे पहले खतरे का पता लगाया था, उन्होंने इसका नाम dmechant Malware रखा।

अभियान का एक जिज्ञासु पहलू यह है कि वर्ड दस्तावेज़ की सामग्री पूरी तरह से स्पेनिश में लिखी गई है। यदि इसका मतलब यह है कि हमलावरों की मुख्य रूप से स्पैनिश भाषी देशों में रुचि है या उनके पास विभिन्न क्षेत्रों के लिए समर्पित लालच ईमेल हैं, तो फिलहाल यह निर्धारित नहीं किया जा सकता है। पाठ स्वयं ऐसा दिखावा करता है जैसे संस्करण की असंगति के कारण वर्ड दस्तावेज़ की सामग्री प्रदर्शित करने में असमर्थ है और संभावित पीड़ित को 'सामग्री सक्षम करें' बटन पर क्लिक करने का निर्देश देता है। ऐसा करने से dmechant मैलवेयर का निष्पादन तुरंत शुरू हो जाएगा।

dmechant की गतिविधि का प्रारंभिक चरण

dmechant पेलोड फ़ाइल को समझौता किए गए सिस्टम पर 'erbxcb.exe' के रूप में छोड़ दिया जाता है, एक निष्पादन योग्य जो PDF दस्तावेज़ होने का दिखावा करता है। इसके निष्पादन पर, पेलोड कई प्रारंभिक कार्य करता है जो इसके वास्तविक असुरक्षित लक्ष्यों को सुविधाजनक बनाने के लिए काम करता है। उदाहरण के लिए, पेलोड सिस्टम पर '%AppData%\bplg' पर एक नया फ़ोल्डर बनाता है और फिर इसके मुख्य निष्पादन योग्य को वहां ले जाता है। फिर, यह कॉपी की गई फ़ाइल को सिस्टम रजिस्ट्री के ऑटो-रन समूह में जोड़कर एक दृढ़ता तंत्र स्थापित करता है। मैलवेयर %Temp%\ arwtfgxjpx80 नाम की एक डीकंप्रेस्ड फ़ाइल को मेमोरी में लोड करता है और इसके डिक्रिप्शन के साथ काम करने वाले फ़ंक्शन को कॉल करता है। बाद में, खतरा एक निष्पादन योग्य पीई फ़ाइल को पूरी तरह से स्मृति में निकालने में सक्षम है।

dmechant . द्वारा एकत्रित जानकारी

dmechant मैलवेयर संवेदनशील निजी जानकारी जैसे क्रिप्टो-वॉलेट पते और खाता क्रेडेंशियल के विस्तृत सेट के बाद चला जाता है। ऐसा प्रतीत होता है कि खतरा मुख्य रूप से समझौता किए गए डिवाइस पर स्थापित क्रिप्टो वॉलेट से प्रोफाइल एकत्र करने में रुचि रखता है। यह दस पूर्वनिर्धारित सॉफ्टवेयर इंस्टेंस से लैस है जिसे वह खोजता है। सूची में Zcash, Armory, Bytecoin, Jaxx Liberty, Exodus, Ethereum, Electrum, Atomic, Guarda और Coinomi शामिल हैं। जब भी कोई उपयुक्त क्रिप्टो-वॉलेट मिलता है, तो प्रोफ़ाइल डेटा वाले पूरे फ़ोल्डर को कॉपी करने के लिए खतरा बढ़ जाता है और फिर इसे अपने होम फोल्डर में '%AppData%\Microsoft\Windows\Templates' पर छोड़ देता है। सभी एकत्रित जानकारी को एक ज़िप फ़ाइल के रूप में संग्रहीत किया जाएगा और फिर हमलावरों को ईमेल अटैचमेंट के रूप में भेजा जाएगा।

इसके अलावा, dmechant 28 पूर्वनिर्धारित वेब ब्राउज़रों की सूची से क्रेडेंशियल्स तक पहुँचने का भी प्रयास करता है। सभी पाए गए डेटा को एक बार फिर से होम फोल्डर में ले जाया जाएगा लेकिन इस बार 'credentials.txt' नाम की एक नई-जेनरेट की गई फ़ाइल के अंदर सहेजा गया है। लक्षित ब्राउज़रों में क्रोम, विवाल्डी, यांडेक्स, ओपेरा, 360 ब्राउज़र, बहादुर ब्राउज़र, कोमेटा, स्पुतनिक, स्लीपनिर 6, एज क्रोमियम और बहुत कुछ हैं। ब्राउज़रों के अलावा, dmechant मैलवेयर सॉफ़्टवेयर क्लाइंट से समझौता करने और सहेजे गए क्रेडेंशियल एकत्र करने में भी सक्षम है। इनमें आउटलुक, कोरएफ़टीपी, फाइलज़िला, नॉर्डवीपीएन, फॉक्समेल, थंडरबर्ड और बहुत कुछ शामिल हैं।