Dmechant Вредоносное ПО

Мощное вредоносное ПО для кражи информации распространяется через электронные сообщения-приманки, содержащие вложения Word в виде оружия. Электронные письма с приманкой якобы приходят от менеджера по закупкам и содержат подробную информацию о предполагаемом заказе. В электронном письме ничего не подозревающего пользователя побуждает ознакомиться с деталями, содержащимися в прикрепленном файле Word, прежде чем подтверждать их. Как это обычно бывает, документ Word содержит внутри поврежденный макрос, который доставляет вредоносное ПО в систему жертвы. Наблюдаемое вредоносное ПО кажется уникальным творением, которое не связано ни с одним из предустановленных семейств вредоносных программ. Он действует как криптокошелек и сборщик учетных данных. Исследователи информационной безопасности, первыми обнаружившие угрозу, назвали ее вредоносным ПО dmechant.

Любопытным аспектом кампании является то, что содержание документа Word полностью написано на испанском языке. Если это означает, что злоумышленники интересуются преимущественно испаноязычными странами или у них есть специальные электронные письма с приманками для разных территорий, в настоящий момент определить невозможно. Сам текст делает вид, что содержимое документа Word не может быть отображено из-за несовместимости версий, и инструктирует потенциальную жертву нажать кнопку «Включить содержимое». Это немедленно приведет к запуску вредоносного ПО dmechant.

Начальный этап деятельности dmechant

Файл полезной нагрузки dmechant сбрасывается в скомпрометированную систему как «erbxcb.exe», исполняемый файл, который выдает себя за документ PDF. После выполнения полезная нагрузка выполняет несколько подготовительных действий, которые способствуют достижению истинных небезопасных целей. Например, полезная нагрузка создает новую папку в системе в "% AppData% \ bplg", а затем перемещает туда свой основной исполняемый файл. Затем он устанавливает механизм сохранения, добавляя скопированный файл в группу автозапуска системного реестра. Вредоносная программа также загружает в память распакованный файл с именем% Temp% \ arwtfgxjpx80 и вызывает функцию, которой поручено его дешифрование. После этого угроза может полностью распаковать исполняемый PE-файл в памяти.

Информация, собранная dmechant

Вредоносная программа dmechant использует широкий набор конфиденциальной частной информации, такой как адреса криптокошельков и учетные данные. Угроза, похоже, заинтересована в сборе профилей преимущественно из криптокошельков, установленных на взломанном устройстве. Он оснащен десятью предопределенными экземплярами программного обеспечения, которые он ищет. В список входят Zcash, Armory, Bytecoin, Jaxx Liberty, Exodus, Ethereum, Electrum, Atomic, Guarda и Coinomi. При обнаружении подходящего криптокошелька угроза копирует всю папку, содержащую данные профиля, а затем помещает ее в свою домашнюю папку в папке «% AppData% \ Microsoft \ Windows \ Templates». Вся собранная информация будет заархивирована в виде ZIP-файла, а затем передана злоумышленникам в виде вложения электронной почты.

Кроме того, dmechant также пытается получить доступ к учетным данным из списка из 28 предопределенных веб-браузеров. Все найденные данные снова будут перемещены в домашнюю папку, но на этот раз сохранены во вновь созданном файле с именем credentials.txt. Среди целевых браузеров - Chrome, Vivaldi, Яндекс, Opera, 360 Browser, Brave Browser, Kometa, Sputnik, Sleipnir 6, Edge Chromium и другие. Помимо браузеров, вредоносная программа dmechant также способна взламывать программные клиенты и собирать сохраненные учетные данные. К ним относятся Outlook, CoreFTP, FileZilla, NordVPN, FoxMail, Thunderbird и другие.