XPCTRA-malware
De XPCTRA Malware is een nieuwe malwarestam voor banken die voornamelijk tegen Braziliaanse gebruikers wordt ingezet. Ook hier zijn de kernaspecten die van een dergelijke dreiging worden verwacht aanwezig. XPCTRA kan gebruikersgegevens verzamelen van meerdere financiële instellingen, waaronder twee grote Braziliaanse banken. De bedreigende mogelijkheden van de dreiging gaan echter veel verder, omdat het ook inloggegevens voor online digitale crypto-wallets kan verzamelen van services zoals Blockchain.info, PerfectMoney en Neteller. Bovendien creëert het een achterdeurtje door een RAT (Remote Access Trojan) te laten vallen.
Voor de eerste aanvalsvector vertrouwt XPCTRA op phishing-e-mails die doen alsof ze belangrijke bankrekeningen voor de gebruiker bevatten. Dit is natuurlijk allemaal nep, en wanneer de vermeende pdf-factuur wordt uitgevoerd, wordt in plaats daarvan een bedreigende druppelaar gedownload naar het computersysteem van de gebruiker. De dropper fungeert als een payload in de eerste fase die wordt belast met het leveren van een .zip-archief met de belangrijkste XPCTRA-payload.
Eenmaal binnen het beoogde systeem, gaat de bank-malware verder met het creëren van een persistentiemechanisme voor zichzelf en met het opzetten van een HTTP-proxy-tool genaamd Fiddler. Met deze tool kan XPCTRA de toegang van gebruikers tot de beoogde financiële instellingen controleren en onderscheppen. Alle gestolen inloggegevens worden via een niet-versleuteld communicatiekanaal naar de Command-and-Control-server van de hackers verzonden. De e-maildiensten van gebruikers zoals Microsoft Live, Terra, IG en Hotmail zijn ook gecompromitteerd en de verkregen contactlijsten worden gebruikt om de dreiging verder te verspreiden.
XPCTRA beperkt zich niet alleen tot diefstal van inloggegevens. Het breidt zijn bedreigende mogelijkheden uit door een RAT-infrastructuur (Remote Access Trojan), bekend als Quasar RAT, aan het gecompromitteerde slachtoffer te leveren. Via dit kanaal kunnen de hackers extra payload-modules downloaden, keyloggers opzetten, geselecteerde bestanden exfiltreren, enz.
