dmechant Malware

Güçlü bir bilgi hırsızı kötü amaçlı yazılım, silahlı Word ekleri taşıyan yem e-posta mesajları yoluyla dağıtılıyor. Cazibe e-postaları, sözde bir siparişin ayrıntıları hakkında bir satın alma yöneticisinden geliyormuş gibi davranıyor. E-posta, şüphelenmeyen kullanıcıyı, onaylamadan önce ekteki Word dosyasında yer alan ayrıntıları gözden geçirmeye teşvik eder. Genelde olduğu gibi, Word belgesinin içinde, kurbanın sistemine kötü amaçlı yazılım yükü gönderen bozuk bir makro vardır. Gözlenen kötü amaçlı yazılım, önceden oluşturulmuş kötü amaçlı yazılım ailelerinin hiçbiriyle ilişkili olmayan benzersiz bir oluşum gibi görünüyor. Kripto cüzdan ve kimlik bilgileri toplayıcı görevi görür. Tehdidi ilk tespit eden infosec araştırmacıları, onu dmechant Malware olarak adlandırdı.

Kampanyanın ilginç bir yönü, Word belgesinin içeriğinin tamamen İspanyolca yazılmış olmasıdır. Bu, saldırganların ağırlıklı olarak İspanyolca konuşulan ülkelerle ilgilendikleri veya farklı bölgeler için özel cezbedici e-postalara sahip oldukları anlamına geliyorsa şu anda tespit edilemiyor. Metnin kendisi, sürüm uyumsuzluğu nedeniyle Word belgesinin içeriği görüntülenemiyormuş gibi davranır ve potansiyel kurbana 'İçeriği Etkinleştir' düğmesini tıklaması talimatını verir. Bunu yapmak, dmechant kötü amaçlı yazılımının yürütülmesini hemen başlatacaktır.

Dmechant'ın Faaliyetinin İlk Aşaması

Dmechant veri yükü dosyası, güvenliği ihlal edilmiş sisteme bir PDF belgesi gibi görünen bir yürütülebilir dosya olan 'erbxcb.exe' olarak bırakılır. Yürütülmesinin ardından, yük, gerçek güvenli olmayan hedeflerini kolaylaştırmaya hizmet eden birkaç hazırlık eylemi gerçekleştirir. Örneğin, yük, sistemde '%AppData%\bplg' konumunda yeni bir klasör oluşturur ve ardından ana yürütülebilir dosyasını oraya taşır. Ardından, kopyalanan dosyayı sistem Kayıt Defterinin otomatik çalıştırma grubuna ekleyerek bir kalıcılık mekanizması kurar. Kötü amaçlı yazılım ayrıca %Temp%\ arwtfgxjpx80 adlı sıkıştırılmış dosyayı belleğe yükler ve şifresini çözmekle görevli bir işlevi çağırır. Daha sonra tehdit, yürütülebilir bir PE dosyasını tamamen bellekten çıkarma yeteneğine sahiptir.

dmechant tarafından toplanan bilgiler

Dmechant kötü amaçlı yazılımı, kripto cüzdan adresleri ve hesap kimlik bilgileri gibi çok çeşitli hassas özel bilgilerin peşine düşer. Tehdit, ağırlıklı olarak güvenliği ihlal edilmiş cihaza kurulu kripto cüzdanlarından profil toplamakla ilgileniyor gibi görünüyor. Aradığı on önceden tanımlanmış yazılım örneğiyle donatılmıştır. Listede Zcash, Armory, Bytecoin, Jaxx Liberty, Exodus, Ethereum, Electrum, Atomic, Guarda ve Coinomi yer alıyor. Uygun bir şifreleme cüzdanı bulunduğunda, tehdit profil verilerini içeren tüm klasörü kopyalamaya devam eder ve ardından onu '%AppData%\Microsoft\Windows\Templates' konumundaki ana klasörüne bırakır. Toplanan tüm bilgiler bir ZIP dosyası olarak arşivlenecek ve ardından bir e-posta eki olarak saldırganlara sızdırılacaktır.

Ayrıca, dmechant ayrıca önceden tanımlanmış 28 Web tarayıcısı listesinden kimlik bilgilerine erişmeye çalışır. Bulunan tüm veriler bir kez daha ana klasöre taşınacak, ancak bu sefer 'credentials.txt' adlı yeni oluşturulmuş bir dosyaya kaydedilecek. Hedeflenen tarayıcılar arasında Chrome, Vivaldi, Yandex, Opera, 360 Tarayıcı, Cesur Tarayıcı, Kometa, Sputnik, Sleipnir 6, Edge Chromium ve daha fazlası yer alıyor. Tarayıcıların yanı sıra, dmechant kötü amaçlı yazılımı, yazılım istemcilerinden ödün verme ve kayıtlı kimlik bilgilerini toplama yeteneğine de sahiptir. Bunlara Outlook, CoreFTP, FileZilla, NordVPN, FoxMail, Thunderbird ve daha fazlası dahildir.