Licenze multi-dispositivo (sconti per quantità)

Cambia regione

English Dansk Deutsch Español Français Italiano Nederlands Português
Threat Database Malware Malware XPCTRA

Malware XPCTRA

Entro GoldSparrow nel Malware
Traduci in:
Italiano

XPCTRA Malware è un nuovo ceppo di malware bancario distribuito prevalentemente contro gli utenti brasiliani. Anche qui sono presenti gli aspetti fondamentali attesi da una minaccia di questo tipo. XPCTRA può raccogliere le credenziali dell'utente da più istituti finanziari, comprese due importanti banche brasiliane. Le capacità minacciose della minaccia vanno ben oltre quel punto, tuttavia, in quanto può anche raccogliere credenziali per cripto-wallet digitali online da servizi tra cui Blockchain.info, PerfectMoney e Neteller. Inoltre, stabilisce un canale backdoor rilasciando un RAT (Remote Access Trojan).

Per il suo vettore di attacco iniziale, XPCTRA si basa su e-mail di phishing che fingono di trasportare importanti fatture bancarie per l'utente. Questo è tutto falso, ovviamente, e quando viene eseguita la presunta fattura in PDF, viene invece scaricato un minaccioso contagocce sul sistema informatico dell'utente. Il dropper funge da payload di primo stadio con il compito di fornire un archivio .zip contenente il payload XPCTRA principale.

Una volta all'interno del sistema mirato, il malware bancario procede a creare un meccanismo di persistenza per se stesso, oltre a stabilire uno strumento proxy HTTP chiamato Fiddler. Questo strumento consente a XPCTRA di monitorare e intercettare l'accesso dell'utente alle istituzioni finanziarie mirate. Tutte le credenziali rubate vengono esfiltrate al server Command-and-Control degli hacker attraverso un canale di comunicazione non crittografato. Anche i servizi di posta elettronica dell'utente come Microsoft Live, Terra, IG e Hotmail sono compromessi e gli elenchi di contatti ottenuti vengono utilizzati per diffondere ulteriormente la minaccia.

XPCTRA non si limita al solo furto di credenziali. Espande le sue capacità minacciose fornendo un'infrastruttura RAT (Remote Access Trojan) nota come Quasar RAT alla vittima compromessa. Attraverso questo canale, gli hacker possono scaricare moduli di payload aggiuntivi, stabilire keylogger, estrarre file selezionati, ecc.

Tendenza

I più visti

Caricamento in corso...