Dmechant Malware

Un potente malware info-stealer viene distribuito tramite messaggi di posta elettronica esca contenenti allegati Word armati. Le e-mail di richiamo fingono di provenire da un responsabile degli acquisti sui dettagli di un presunto ordine. L'e-mail invita l'ignaro utente a rivedere i dettagli contenuti in un file Word allegato prima di confermarli. Come in genere, il documento Word contiene una macro danneggiata al suo interno, che fornisce un payload di malware al sistema della vittima. Il malware osservato sembra essere una creazione unica che non è associata a nessuna delle famiglie di malware prestabilite. Funziona come un raccoglitore di criptovalute e credenziali. I ricercatori di infosec che per primi hanno rilevato la minaccia l'hanno chiamata dmechant Malware.

Un aspetto curioso della campagna è che i contenuti del documento Word sono scritti interamente in spagnolo. Se ciò significa che gli aggressori sono interessati prevalentemente a paesi di lingua spagnola o hanno e-mail di richiamo dedicate per diversi territori, non è possibile determinare al momento. Il testo stesso fa finta che il contenuto del documento Word non possa essere visualizzato a causa di incompatibilità di versione e indica alla potenziale vittima di fare clic sul pulsante "Abilita contenuto". In questo modo si avvierà immediatamente l'esecuzione del malware dmechant.

La fase iniziale dell'attività di dmechant

Il file payload dmechant viene rilasciato sul sistema compromesso come "erbxcb.exe", un eseguibile che finge di essere un documento PDF. Al momento della sua esecuzione, il carico utile esegue diverse azioni preparatorie che servono a facilitare i suoi veri obiettivi non sicuri. Ad esempio, il payload genera una nuova cartella sul sistema in '%AppData%\bplg' e quindi sposta lì il suo eseguibile principale. Quindi, stabilisce un meccanismo di persistenza aggiungendo il file copiato nel gruppo di esecuzione automatica del registro di sistema. Il malware carica anche un file decompresso chiamato %Temp%\ arwtfgxjpx80 in memoria e chiama una funzione incaricata della sua decrittazione. Successivamente, la minaccia è in grado di estrarre un file PE eseguibile interamente in memoria.

Le informazioni raccolte da dmechant

Il malware dmechant insegue un'ampia serie di informazioni private sensibili come indirizzi di criptovalute e credenziali dell'account. La minaccia sembra essere interessata principalmente alla raccolta di profili dai portafogli crittografici installati sul dispositivo compromesso. È dotato di dieci istanze software predefinite che cerca. L'elenco include Zcash, Armory, Bytecoin, Jaxx Liberty, Exodus, Ethereum, Electrum, Atomic, Guarda e Coinomi. Ogni volta che viene trovato un crypto-wallet adatto, la minaccia procede a copiare l'intera cartella contenente i dati del profilo e quindi a rilasciarla nella sua cartella principale in "%AppData%\Microsoft\Windows\Templates". Tutte le informazioni raccolte verranno archiviate come file ZIP e quindi esfiltrate agli aggressori come allegato di posta elettronica.

Inoltre, dmechant tenta anche di accedere alle credenziali da un elenco di 28 browser Web predefiniti. Tutti i dati trovati verranno nuovamente spostati nella cartella home, ma questa volta salvati in un file appena generato denominato "credentials.txt". Tra i browser mirati ci sono Chrome, Vivaldi, Yandex, Opera, 360 Browser, Brave Browser, Kometa, Sputnik, Sleipnir 6, Edge Chromium e altri. Oltre ai browser, il malware dmechant è anche in grado di compromettere i client software e raccogliere le credenziali salvate. Questi includono Outlook, CoreFTP, FileZilla, NordVPN, FoxMail, Thunderbird e altro.