Хакеры нашли новый способ похищения данных за счёт шпионской программы Masslogger
Эксперты в области кибербезопасности из Cisco Talos предупредили о появлении нового способа кражи данных. Хакерам удалось разработать вредоносную программу Masslogger, способную считывать пароли Microsoft Outlook, Thunderbird, FoxMail, NordVPN, браузеров Chromium, QQ Browser и Firefox.
Программа-шпион, представляющая собой обновлённую версию печально известного «трояна», встраивается в пользовательское ПО поэтапно. Сначала на почту потенциальной жертвы приходит сообщение, замаскированное под начало деловой переписки и содержащее в себе RAR-файл без характерной пометки (.rar). Вместо неё располагается метка Rxx (хх – любые числа), на что мало кто из пользователей обращает внимание. По мнению аналитиков, эта простая уловка помогает хакерам обойти распространённые RAR-фильтры.
Далее жертве даётся возможность открыть CHM-файла, где и находится основная часть вредоносной информации. Открыв документ, пользователь собственноручно запускает JavaScript-алгоритм, который в свою очередь создаёт HTML-страницу, а после подгружает PowerShell-скрипт, помогающий дропперу Masslogger встраиваться в ПО.
Собственно, столь сложную систему доставки шпионской программы хакеры разработали с целью минимизации рисков преждевременного обнаружения вредоносного ПО. С другой стороны, специалисты в сфере кибербезопасности считают, что многоступенчатость схемы может наоборот помешать планам мошенников, ведь чем больше составных частей в системе, тем выше риск сбоев.
Впервые Masslogger был обнаружен в январе 2021, но многие аналитики отмечают, что ещё в апреле прошлого года ими были замечены атаки, поразительно похожие на воздействие нового шпионского ПО. Исследуя вредоносные спам-сообщения, эксперты пришли к выводу, что кибератака направлена в основном против турецких, латвийских и итальянских организаций.
В 2020 сомнительные письма получали представители болгарских, венгерских, румынских, испанских и эстонских компаний. Эксперты уверены – в прошлом году хакеры пытались выкрасть информацию об AgentTesla, Formbook или AsyncRAT. В случае же с Masslogger главной целью мошенников является воровство паролей и других личных данных.
