Dmechant 악성 코드

강력한 정보 스틸러 멀웨어가 무기화된 Word 첨부 파일을 포함하는 미끼 이메일 메시지를 통해 배포되고 있습니다. 미끼 이메일은 예상 주문의 세부 사항에 대해 구매 관리자가 보낸 것처럼 가장합니다. 이메일은 순진한 사용자가 확인하기 전에 첨부된 Word 파일에 포함된 세부 정보를 검토할 것을 촉구합니다. 일반적으로 Word 문서에는 손상된 매크로가 포함되어 있어 피해자의 시스템에 맬웨어 페이로드를 전달합니다. 관찰된 맬웨어는 미리 설정된 맬웨어 제품군과 관련이 없는 고유한 생성으로 보입니다. 암호화 지갑 및 자격 증명 수집기 역할을 합니다. 위협을 처음 감지한 infosec 연구원은 이를 dmechant Malware라고 명명했습니다.

캠페인의 특이한 점은 워드 문서의 내용이 모두 스페인어로 쓰여 있다는 점이다. 이것이 공격자가 스페인어를 사용하는 국가에 주로 관심이 있거나 다른 지역에 대한 전용 미끼 이메일을 가지고 있다는 것을 의미하는지 현재로서는 확인할 수 없습니다. 텍스트 자체는 버전 비호환성으로 인해 Word 문서의 내용을 표시할 수 없는 것처럼 가장하고 잠재적인 피해자에게 '콘텐츠 사용' 버튼을 클릭하도록 지시합니다. 그렇게 하면 즉시 dmechant 악성코드의 실행이 시작됩니다.

dmechant 활동의 초기 단계

dmechant 페이로드 파일은 PDF 문서로 가장하는 실행 파일인 'erbxcb.exe'로 손상된 시스템에 드롭됩니다. 실행 시 페이로드는 안전하지 않은 실제 목표를 촉진하는 데 도움이 되는 몇 가지 준비 작업을 수행합니다. 예를 들어, 페이로드는 시스템의 '%AppData%\bplg'에 새 폴더를 생성한 다음 기본 실행 파일을 그곳으로 이동합니다. 그런 다음 복사된 파일을 시스템 레지스트리의 자동 실행 그룹에 추가하여 지속성 메커니즘을 설정합니다. 또한 이 악성코드는 %Temp%\arwtfgxjpx80이라는 압축 해제된 파일을 메모리에 로드하고 암호 해독 작업을 수행하는 함수를 호출합니다. 그 후 위협 요소는 실행 가능한 PE 파일을 메모리에서 완전히 추출할 수 있습니다.

dmechant가 수집하는 정보

dmechant 악성코드는 암호화 지갑 주소 및 계정 자격 증명과 같은 광범위한 민감한 개인 정보를 추적합니다. 위협은 주로 손상된 장치에 설치된 암호화 지갑에서 프로필을 수집하는 데 관심이 있는 것으로 보입니다. 검색하는 10개의 사전 정의된 소프트웨어 인스턴스가 장착되어 있습니다. 목록에는 Zcash, Armory, Bytecoin, Jaxx Liberty, Exodus, Ethereum, Electrum, Atomic, Guarda 및 Coinomi가 포함됩니다. 적절한 암호화 지갑이 발견될 때마다 위협은 프로필 데이터가 포함된 전체 폴더를 복사한 다음 홈 폴더 '%AppData%\Microsoft\Windows\Templates'에 드롭합니다. 수집된 모든 정보는 ZIP 파일로 보관된 다음 이메일 첨부 파일로 공격자에게 유출됩니다.

또한 dmechant는 28개의 미리 정의된 웹 브라우저 목록에서 자격 증명에 액세스하려고 시도합니다. 발견된 모든 데이터는 다시 홈 폴더로 이동되지만 이번에는 'credentials.txt'라는 이름으로 새로 생성된 파일에 저장됩니다. 대상 브라우저에는 Chrome, Vivaldi, Yandex, Opera, 360 Browser, Brave Browser, Kometa, Sputnik, Sleipnir 6, Edge Chromium 등이 있습니다. 브라우저 외에도 dmechant 악성코드는 소프트웨어 클라이언트를 손상시키고 저장된 자격 증명을 수집할 수도 있습니다. 여기에는 Outlook, CoreFTP, FileZilla, NordVPN, FoxMail, Thunderbird 등이 포함됩니다.