Dmechant Malware
Een krachtige info-stealer-malware wordt verspreid via lokaas-e-mailberichten met bewapende Word-bijlagen. De e-mails met lokaas doen alsof ze afkomstig zijn van een inkoopmanager over de details van een vermeende bestelling. De e-mail spoort de nietsvermoedende gebruiker aan om de details in een bijgevoegd Word-bestand te bekijken voordat ze worden bevestigd. Zoals meestal het geval is, bevat het Word-document een beschadigde macro die een malware-lading aan het systeem van het slachtoffer levert. De waargenomen malware lijkt een unieke creatie te zijn die niet wordt geassocieerd met een van de vooraf vastgestelde malwarefamilies. Het fungeert als een crypto-wallet en inloggegevensverzamelaar. De infosec-onderzoekers die de dreiging voor het eerst ontdekten, noemden het de dmechant Malware.
Een merkwaardig aspect van de campagne is dat de inhoud van het Word-document volledig in het Spaans is geschreven. Of dit betekent dat de aanvallers voornamelijk geïnteresseerd zijn in Spaanssprekende landen of dat ze speciale e-mails hebben voor verschillende gebieden, kan op dit moment niet worden vastgesteld. De tekst zelf doet alsof de inhoud van het Word-document niet kan worden weergegeven vanwege incompatibiliteit met de versie en instrueert het potentiële slachtoffer om op de knop 'Inhoud inschakelen' te klikken. Als u dit doet, wordt de uitvoering van de dmechant-malware onmiddellijk gestart.
De beginfase van de activiteit van dmechant
Het dmechant-payloadbestand wordt op het gecompromitteerde systeem neergezet als 'erbxcb.exe', een uitvoerbaar bestand dat zich voordoet als een PDF-document. Bij de uitvoering voert de payload verschillende voorbereidende acties uit die dienen om zijn echte onveilige doelen te vergemakkelijken. De payload genereert bijvoorbeeld een nieuwe map op het systeem op '%AppData%\bplg' en verplaatst vervolgens het hoofduitvoerbare bestand daar. Vervolgens stelt het een persistentiemechanisme in door het gekopieerde bestand toe te voegen aan de auto-run-groep van het systeemregister. De malware laadt ook een gedecomprimeerd bestand met de naam %Temp%\ arwtfgxjpx80 in het geheugen en roept een functie aan die belast is met de decodering ervan. Daarna is de dreiging in staat om een uitvoerbaar PE-bestand volledig in het geheugen te extraheren.
De informatie verzameld door dmechant
De dmechant-malware gaat achter een brede reeks gevoelige privé-informatie aan, zoals crypto-wallet-adressen en accountreferenties. De dreiging lijkt voornamelijk geïnteresseerd te zijn in het verzamelen van profielen van de crypto-wallets die op het gecompromitteerde apparaat zijn geïnstalleerd. Het is uitgerust met tien vooraf gedefinieerde software-instanties waarnaar het zoekt. De lijst bevat Zcash, Armory, Bytecoin, Jaxx Liberty, Exodus, Ethereum, Electrum, Atomic, Guarda en Coinomi. Telkens wanneer een geschikte crypto-wallet wordt gevonden, gaat de dreiging verder met het kopiëren van de volledige map met de profielgegevens en zet deze vervolgens in de thuismap op '%AppData%\Microsoft\Windows\Templates'. Alle verzamelde informatie wordt gearchiveerd als een ZIP-bestand en vervolgens als e-mailbijlage naar de aanvallers geëxfiltreerd.
Daarnaast probeert dmechant ook toegang te krijgen tot inloggegevens uit een lijst van 28 vooraf gedefinieerde webbrowsers. Alle gevonden gegevens worden opnieuw naar de thuismap verplaatst, maar deze keer opgeslagen in een nieuw gegenereerd bestand met de naam 'credentials.txt'. Onder de gerichte browsers zijn Chrome, Vivaldi, Yandex, Opera, 360 Browser, Brave Browser, Kometa, Sputnik, Sleipnir 6, Edge Chromium en meer. Afgezien van browsers, is de dmechant-malware ook in staat softwareclients te compromitteren en opgeslagen inloggegevens te verzamelen. Deze omvatten Outlook, CoreFTP, FileZilla, NordVPN, FoxMail, Thunderbird en meer.
