dmechant Malware

En potent infostjärndelware distribueras via bete-e-postmeddelanden med vapeniserade Word-bilagor. Lure-e-postmeddelandena låtsas komma från en inköpsansvarig om detaljerna i en förmodad beställning. E-postmeddelandet uppmanar den intet ont anande användaren att granska detaljerna i en bifogad Word-fil innan de bekräftas. Som vanligtvis är det i Word-dokumentet ett korrupt makro inuti som levererar en skadlig nyttolast till offrets system. Den observerade skadliga programvaran verkar vara en unik skapelse som inte är associerad med någon av de förinstallerade skadliga familjerna. Det fungerar som en kryptoplånbok och referenssamlare. Infosec-forskarna som först upptäckte hotet kallade det dmechant Malware.

En märklig aspekt av kampanjen är att innehållet i Word-dokumentet är skrivet helt på spanska. Om detta innebär att angriparna huvudsakligen är intresserade av spansktalande länder eller om de har dedikerade bete-e-postmeddelanden för olika territorier kan inte bestämmas för tillfället. Texten själv låtsas som om innehållet i Word-dokumentet inte kan visas på grund av versionskompatibilitet och instruerar det potentiella offret att klicka på knappen "Aktivera innehåll". Genom att göra detta kommer körningen av dmechant-skadlig programvara att startas omedelbart.

Den inledande fasen av dmechants aktivitet

Dmechant-nyttolastfilen släpps på det komprometterade systemet som 'erbxcb.exe', en körbar fil som låtsas vara ett PDF-dokument. Efter genomförandet utför nyttolasten flera förberedande åtgärder som tjänar till att underlätta dess verkliga osäkra mål. Till exempel genererar nyttolasten en ny mapp i systemet vid '% AppData% \ bplg' och flyttar sedan sin huvudsakliga körbar dit. Därefter upprättas en uthållighetsmekanism genom att lägga till den kopierade filen i den autokörda gruppen i systemregistret. Skadlig programvara läser också in en dekomprimerad fil med namnet% Temp% \ arwtfgxjpx80 i minnet och kallar en funktion som har till uppgift att dekryptera den. Därefter kan hotet extrahera en körbar PE-fil helt i minnet.

Informationen som samlats in av dmechant

Dmechant-skadlig programvara följer en mängd känslig privat information som kryptoplånadresser och kontouppgifter. Hotet verkar vara intresserat av att samla in profiler från kryptoplånböckerna som övervägande är installerade på den komprometterade enheten. Den är utrustad med tio fördefinierade programvaruinstanser som den söker efter. Listan innehåller Zcash, Armory, Bytecoin, Jaxx Liberty, Exodus, Ethereum, Electrum, Atomic, Guarda och Coinomi. När en lämplig kryptoplånbok hittas fortsätter hotet att kopiera hela mappen som innehåller profildata och sedan släppa den i sin hemmapp vid '% AppData% \ Microsoft \ Windows \ Templates.' All insamlad information kommer att arkiveras som en ZIP-fil och sedan exfiltreras till angriparna som en e-postbilaga.

Dessutom försöker dmechant också komma åt referenser från en lista med 28 fördefinierade webbläsare. Alla hittade data kommer återigen att flyttas till hemmappen men den här gången sparas i en nyligen genererad fil med namnet 'credentials.txt.' Bland de riktade webbläsarna är Chrome, Vivaldi, Yandex, Opera, 360 Browser, Brave Browser, Kometa, Sputnik, Sleipnir 6, Edge Chromium och mer. Förutom webbläsare kan dmechant-skadlig programvara också äventyra programvaruklienter och samla in sparade referenser. Dessa inkluderar Outlook, CoreFTP, FileZilla, NordVPN, FoxMail, Thunderbird och mer.