dmechant Malware

Um potente malware, ladrão de informações, está sendo distribuído por meio de mensagens de e-mail capciosas contendo anexos do Word como isca. Os e-mails de isca fingem vir de um gerente de compras sobre os detalhes de um suposto pedido. O e-mail pede ao usuário desavisado que reveja os detalhes contidos em um arquivo Word anexado, antes de confirmá-los. Como normalmente é o caso, o documento do Word contém uma macro corrompida, que entrega uma carga de malware ao sistema da vítima. O malware observado parece ser uma criação única que não está associada a nenhuma das famílias de malware pré-estabelecidas. Ele atua como uma cripto-carteira e um coletor de credenciais. Os pesquisadores de Infosec que primeiro detectaram a ameaça chamaram-na de Malware dmechant.

Um aspecto curioso da campanha é que o conteúdo do documento do Word é escrito inteiramente em espanhol. Se isso significa que os invasores estão predominantemente interessados nos países de língua espanhola ou dedicaram e-mails de isca para diferentes territórios, não pode ser determinado no momento. O próprio texto finge que o conteúdo do documento do Word não pode ser exibido devido à incompatibilidade da versão e instrui a vítima em potencial a clicar no botão 'Ativar Conteúdo'. Isso iniciará a execução do malware dmechant imediatamente.

A Fase Inicial da Atividade do dmechant

O arquivo de carga dmechant é descartado no sistema comprometido como 'erbxcb.exe', um executável que finge ser um documento PDF. Após sua execução, a carga útil realiza várias ações preparatórias que servem para facilitar os seus verdadeiros objetivos inseguros. Por exemplo, a carga útil gera uma nova pasta no sistema no '% AppData% \ bplg' e então move seu executável principal para lá. Em seguida, ele estabelece um mecanismo de persistência adicionando o arquivo copiado ao grupo de execução automática do Registro do sistema. O malware também carrega um arquivo descompactado denominado% Temp%\arwtfgxjpx80 na memória e chama uma função encarregada de sua descriptografia. Posteriormente, a ameaça é capaz de extrair um arquivo PE executável inteiramente na memória.

As Informações Coletadas pelo dmechant

O malware dmechant vai atrás de um amplo conjunto de informações privadas confidenciais, tais como endereços de carteira criptografada e credenciais de conta. A ameaça parece estar principalmente interessada em coletar perfis das carteiras criptografadas instaladas no dispositivo comprometido. É equipado com dez instâncias de software predefinidas que procura. A lista inclui Zcash, Armory, Bytecoin, Jaxx Liberty, Exodus, Ethereum, Electrum, Atomic, Guarda e o Coinomi. Sempre que uma cripto-carteira adequada é encontrada, a ameaça continua a copiar a pasta inteira que contém os dados do perfil e, em seguida, solta-a em sua pasta inicial no '%AppData%\Microsoft\Windows\Templates.' Todas as informações coletadas serão arquivadas como um arquivo ZIP e, em seguida, exfiltrado para os invasores como um anexo de e-mail.

Além disso, o dmechant também tenta acessar credenciais de uma lista de 28 navegadores da Web predefinidos. Todos os dados encontrados serão mais uma vez movidos para a pasta inicial, mas desta vez salvos em um arquivo recém-gerado chamado 'credentials.txt'. Entre os navegadores alvo estão Chrome, Vivaldi, Yandex, Opera, 360 Browser, Brave Browser, Kometa, Sputnik, Sleipnir 6, Edge Chromium e mais. Além dos navegadores, o malware dmechant também é capaz de comprometer clientes de software e coletar credenciais salvas. Isso inclui Outlook, CoreFTP, FileZilla, NordVPN, FoxMail, Thunderbird e muito mais.