Dmechant Malware

Dmechant Malware Opis

Potężne złośliwe oprogramowanie do kradzieży informacji jest rozpowszechniane za pośrednictwem wiadomości e-mail z przynętą zawierających uzbrojone załączniki Worda. E-maile z przynętą udają, że pochodzą od menedżera zakupów i dotyczą szczegółów przypuszczalnego zamówienia. Wiadomość e-mail zachęca niczego niepodejrzewającego użytkownika do przejrzenia szczegółów zawartych w załączonym pliku Word przed ich potwierdzeniem. Jak zwykle, dokument Word zawiera uszkodzone makro, które dostarcza szkodliwe oprogramowanie do systemu ofiary. Zaobserwowane złośliwe oprogramowanie wydaje się być unikalnym tworem, który nie jest powiązany z żadną z wcześniej ustalonych rodzin złośliwego oprogramowania. Działa jako kolektor kryptowalut i poświadczeń. Badacze infosec, którzy jako pierwsi wykryli zagrożenie, nazwali je dmechant Malware.

Ciekawym aspektem kampanii jest to, że treść dokumentu Word jest w całości napisana w języku hiszpańskim. Jeśli oznacza to, że napastnicy są zainteresowani głównie krajami hiszpańskojęzycznymi lub mają dedykowane wiadomości e-mail z przynętami dla różnych terytoriów, nie można w tej chwili określić. Sam tekst udaje, że zawartość dokumentu Word nie może zostać wyświetlona z powodu niezgodności wersji i nakazuje potencjalnej ofierze kliknięcie przycisku „Włącz treść”. Spowoduje to natychmiastowe uruchomienie złośliwego oprogramowania dmechant.

Początkowy etap działalności dmechanta

Plik ładunku dmechant jest umieszczany w zaatakowanym systemie jako „erbxcb.exe”, plik wykonywalny udający dokument PDF. Po wykonaniu ładunek wykonuje kilka czynności przygotowawczych, które służą do ułatwienia jego prawdziwych niebezpiecznych celów. Na przykład ładunek generuje nowy folder w systemie w „%AppData%\bplg”, a następnie przenosi tam swój główny plik wykonywalny. Następnie ustanawia mechanizm trwałości, dodając skopiowany plik do grupy autouruchamiania w Rejestrze systemowym. Szkodnik ładuje również do pamięci zdekompresowany plik o nazwie %Temp%\arwtfgxjpx80 i wywołuje funkcję, której zadaniem jest jego odszyfrowanie. Następnie zagrożenie jest w stanie całkowicie wyodrębnić plik wykonywalny PE z pamięci.

Informacje zebrane przez dmechant

Szkodliwe oprogramowanie dmechant atakuje szeroki zestaw poufnych informacji prywatnych, takich jak adresy kryptowalut i dane uwierzytelniające konta. Zagrożenie wydaje się być zainteresowane głównie zbieraniem profili z portfeli kryptograficznych zainstalowanych na zaatakowanym urządzeniu. Jest wyposażony w dziesięć predefiniowanych instancji oprogramowania, których wyszukuje. Lista obejmuje Zcash, Armoury, Bytecoin, Jaxx Liberty, Exodus, Ethereum, Electrum, Atomic, Guarda i Coinomi. Za każdym razem, gdy zostanie znaleziony odpowiedni portfel kryptograficzny, zagrożenie kopiuje cały folder zawierający dane profilu, a następnie upuszcza go w swoim folderze domowym w „%AppData%\Microsoft\Windows\Templates”. Wszystkie zebrane informacje zostaną zarchiwizowane jako plik ZIP, a następnie eksfiltrowane do atakujących jako załącznik do wiadomości e-mail.

Ponadto dmechant próbuje również uzyskać dostęp do poświadczeń z listy 28 predefiniowanych przeglądarek internetowych. Wszystkie znalezione dane zostaną ponownie przeniesione do folderu domowego, ale tym razem zapisane w nowo wygenerowanym pliku o nazwie „credentials.txt”. Wśród docelowych przeglądarek znajdują się Chrome, Vivaldi, Yandex, Opera, 360 Browser, Brave Browser, Kometa, Sputnik, Sleipnir 6, Edge Chromium i inne. Oprócz przeglądarek złośliwe oprogramowanie dmechant jest również zdolne do narażania klientów oprogramowania i gromadzenia zapisanych danych uwierzytelniających. Należą do nich Outlook, CoreFTP, FileZilla, NordVPN, FoxMail, Thunderbird i inne.