به گزارش کارگروه امنیت سایبربان؛ محققین شرکت سیسکو از شناسایی حملات سایبری به کاربران ترکیه، لتونی و ایتالیا خبر دادند.
این آلودگی سایبری شباهت زیادی به حملاتی دارد که کاربران بلغارستان، لیتوانی، مجارستان، رومانی و اسپانیا را در سپتامبر، اکتبر و نوامبر 2020 مورد هدف قرار داد.
بدافزار MassLogger اولین بار در آوریل شناسایی شد و عاملین سازنده آن پس از این تاریخ، دائما در حال توسعه کد مخرب مذکور می باشند.
برخلاف نمونه های قبلی بدافزار MassLogger، گونه جدید آن برای شروع فرآیند آلوده سازی، از فرمت فایل کامپایل شده HTML Help مایکروسافت استفاده می کند.
این فرمت فایل مایکروسافت، دارای جاوا اسکریپت هایی است که در جهت اجرای بدافزار در حملات شناسایی شده توسط سیسکو مورد استفاده قرار می گیرد.
این حملات با ارسال ایمیلی آغاز می شود که دارای یک موضوع متناسب و یک فایل ضمیمه RAR به همراه افزونه نام فایل می باشد.
در حملات شناسایی شده توسط سیسکو، فایل های RAR به دو آرشیو مجزا تقسیم می شود و افزونه نام فایل آن ها r00”" و سپس .chm می باشد.
این روش می تواند برنامه های امنیتی بررسی کننده ی افزونه فایل ضمیمه را فریب دهد و آن ها را دور بزند.
این بدافزار قادر است داده های سرقت شده را به وسیله SMTP، FTP و HTTP را انتقال دهد. گونه جدید بدافزار MassLogger دارای قابلیت هایی برای سرقت ابرازهای هویت پیام رسان کلاینت پیجین، دیسکورد، NordVPN، اوت لوک، ساندر برد، فایر فاکس، مرورگر QQ و مرورگرهای مبتنی بر کرومیوم مانند کروم، Edge، اوپرا و Brave می باشد.
MassLogger می تواند به عنوان یک کی لاگر نیز عمل کند اما گونه بررسی شده متخصصین، این قابلیت را غیرفعال کرده است.
این بدافزار معمولا در حافظه اجرا می شود. بنابراین اسکن همیشگی پس زمینه حافظه می تواند به شناسایی این تهدید کمک کند.
این بدافزار، تنها، فایل ضمیمه و فایل Compiled HTML Help را بر روی دیسک ماشین های آلوده باقی می گذارد.
