Dmechant 惡意軟件

一種強大的信息竊取惡意軟件正在通過帶有武器化 Word 附件的誘餌電子郵件進行分發。誘餌電子郵件假裝來自採購經理，內容涉及假定訂單的詳細信息。該電子郵件敦促毫無戒心的用戶在確認之前查看附加的 Word 文件中包含的詳細信息。通常情況下，Word 文檔中有一個損壞的宏，它將惡意軟件負載傳送到受害者的系統。觀察到的惡意軟件似乎是一種獨特的創作，與任何預先建立的惡意軟件系列無關。它充當加密錢包和憑證收集器。最先檢測到威脅的信息安全研究人員將其命名為 dmechant 惡意軟件。

該活動的一個奇怪方面是 Word 文檔的內容完全是用西班牙語編寫的。如果這意味著攻擊者主要對講西班牙語的國家感興趣，或者他們有針對不同地區的專用誘餌電子郵件，目前無法確定。文本本身假裝由於版本不兼容而無法顯示 Word 文檔的內容，並指示潛在受害者單擊“啟用內容”按鈕。這樣做將立即啟動 dmechant 惡意軟件的執行。

dmechant 活動的初始階段

dmechant 有效負載文件作為“erbxcb.exe”放置在受感染的系統上，這是一個偽裝成 PDF 文檔的可執行文件。在執行時，有效載荷會執行一些準備動作，以促進其真正的不安全目標。例如，有效載荷在系統上的“%AppData%\bplg”處生成一個新文件夾，然後將其主要可執行文件移動到那裡。然後將復制的文件加入系統Registry的自動運行組，建立持久化機制。該惡意軟件還將一個名為 %Temp%\ arwtfgxjpx80 的解壓縮文件加載到內存中，並調用一個負責解密的函數。之後，該威脅能夠完全在內存中提取可執行 PE 文件。

dmechant 收集的信息

dmechant 惡意軟件會追踪大量敏感的私人信息，例如加密錢包地址和帳戶憑據。該威脅似乎主要是從安裝在受感染設備上的加密錢包中收集配置文件。它配備了它搜索的十個預定義軟件實例。該列表包括 Zcash、Armory、Bytecoin、Jaxx Liberty、Exodus、以太坊、Electrum、Atomic、Guarda 和 Coinomi。每當找到合適的加密錢包時，威脅就會繼續複製包含配置文件數據的整個文件夾，然後將其放入位於“%AppData%\Microsoft\Windows\Templates”的主文件夾中。所有收集到的信息將被存檔為 ZIP 文件，然後作為電子郵件附件洩露給攻擊者。

此外，dmechant 還嘗試從 28 個預定義的 Web 瀏覽器列表中訪問憑據。所有找到的數據將再次移動到主文件夾，但這次保存在名為“credentials.txt”的新生成文件中。目標瀏覽器包括 Chrome、Vivaldi、Yandex、Opera、360 Browser、Brave Browser、Kometa、Sputnik、Sleipnir 6、Edge Chromium 等。除了瀏覽器之外，dmechant 惡意軟件還能夠危及軟件客戶端並收集保存的憑據。其中包括 Outlook、CoreFTP、FileZilla、NordVPN、FoxMail、Thunderbird 等。