Dmechant 恶意软件

一种强大的信息窃取恶意软件正在通过带有武器化 Word 附件的诱饵电子邮件进行分发。诱饵电子邮件假装来自采购经理，内容涉及假定订单的详细信息。该电子邮件敦促毫无戒心的用户在确认之前查看附加的 Word 文件中包含的详细信息。通常情况下，Word 文档中有一个损坏的宏，它将恶意软件负载传送到受害者的系统。观察到的恶意软件似乎是一种独特的创作，与任何预先建立的恶意软件系列无关。它充当加密钱包和凭证收集器。最先检测到威胁的信息安全研究人员将其命名为 dmechant 恶意软件。

该活动的一个奇怪方面是 Word 文档的内容完全是用西班牙语编写的。如果这意味着攻击者主要对讲西班牙语的国家感兴趣，或者他们有针对不同地区的专用诱饵电子邮件，目前无法确定。文本本身假装由于版本不兼容而无法显示 Word 文档的内容，并指示潜在受害者单击“启用内容”按钮。这样做将立即启动 dmechant 恶意软件的执行。

dmechant 活动的初始阶段

dmechant 有效负载文件作为“erbxcb.exe”放置在受感染的系统上，这是一个伪装成 PDF 文档的可执行文件。在执行时，有效载荷会执行一些准备动作，以促进其真正的不安全目标。例如，有效载荷在系统上的“%AppData%\bplg”处生成一个新文件夹，然后将其主要可执行文件移动到那里。然后将复制的文件加入系统Registry的自动运行组，建立持久化机制。该恶意软件还将一个名为 %Temp%\ arwtfgxjpx80 的解压缩文件加载到内存中，并调用一个负责解密的函数。之后，该威胁能够完全在内存中提取可执行 PE 文件。

dmechant 收集的信息

dmechant 恶意软件会追踪大量敏感的私人信息，例如加密钱包地址和帐户凭据。该威胁似乎主要是从安装在受感染设备上的加密钱包中收集配置文件。它配备了它搜索的十个预定义软件实例。该列表包括 Zcash、Armory、Bytecoin、Jaxx Liberty、Exodus、以太坊、Electrum、Atomic、Guarda 和 Coinomi。每当找到合适的加密钱包时，威胁就会继续复制包含配置文件数据的整个文件夹，然后将其放入位于“%AppData%\Microsoft\Windows\Templates”的主文件夹中。所有收集到的信息将被存档为 ZIP 文件，然后作为电子邮件附件泄露给攻击者。

此外，dmechant 还尝试从 28 个预定义的 Web 浏览器列表中访问凭据。所有找到的数据将再次移动到主文件夹，但这次保存在名为“credentials.txt”的新生成文件中。目标浏览器包括 Chrome、Vivaldi、Yandex、Opera、360 Browser、Brave Browser、Kometa、Sputnik、Sleipnir 6、Edge Chromium 等。除了浏览器之外，dmechant 恶意软件还能够危及软件客户端并收集保存的凭据。其中包括 Outlook、CoreFTP、FileZilla、NordVPN、FoxMail、Thunderbird 等。