Windows kimlik bilgileri hırsızı MassLogger; Outlook, Chrome ve anında mesajlaşma uygulamalarından kimlik bilgilerini çalmak için yeniden gelişti ve daha güçlü hale geldi.
Cisco Talos uzmanları Türkiye, Letonya ve İtalya’daki kullanıcılara yönelik saldırıları ortaya çıkardı. Atakların Eylül, Ekim ve Kasım 2020’de Bulgaristan, Litvanya, Macaristan, Estonya, Romanya ve İspanya’daki kullanıcıları hedef alan saldırılarla benzerlikleri olduğunu öne sürdü.
MassLogger ilk olarak geçtiğimiz sene Nisan ayında görüldü. O zamandan beri bu kötü amaçlının yaratıcısı kodu iyileştirmeye devam ediyor. Bu truva atının gelişim süreci ve diğer varyantları daha önce belgelendi. Ancak yayılım zincirinin başlatılmasında derlenmiş HTML dosya biçiminin kullanılması Talos araştırmacılarının dikkatini çekti.
Yayılım zinciri normal görünen bir konu satırı içeren bir e-posta iletisiyle başlıyor ve sıra dışı bir dosya uzantısına sahip bir RAR eki ile birlikte geliyor. Talos’un gözlemlediği saldırılarda dosya adı “r00” ve .chm dosya uzantısıyla dosyalar oluşturuluyor. Bu şekilde dosya uzantısı kontrol eden güvenlik sistemlerinin atlatılması hedeflenmekte.
E-posta eklerinin açılmasıyla birlikte karmaşık bir JavaScript kodu bir HTML sayfası oluşturuyor ve “Müşteri Hizmetleri” mesajı görüntüleniyor ve kötü amaçlının kullanıcının cihazına bulaşması için arkada basit imzalar kullanarak işlem yapmaya devam ediyor. Tüm işlemlerde ve yüklenen dosyalarda basit işlemlerin ve doğal görünen uzantıların kullanılması fark edilmesini zorlaştırıyor.
Kötü amaçlı yazılım çalınan verileri SMTP, FTP veya HTTP yoluyla sızdırabilir. MassLogger’ın son sürümü (sürüm 3.0.7563.31381) kimlik bilgilerini Pidgin messenger istemcisi, Discord, NordVPN, Outlook, Thunderbird, Firefox, QQ Browser ve Chrome tabanlı tarayıcılardan (Chromium,Edge,Opera,Brave) çalabilir. Bu truva atı keylogger olarak da kullanılabilir ancak bu varyantta bu özelliğin aktif olmadığı belirtildi.
Talos’un konuyla ilgili önerisi ise şu şekilde; “Halkın ilgisinin çoğu fidye yazılım saldırılarına, oyun kaynak kodlarının çalınmasına ve APT’lere odaklanmış gibi görünse de kötü amaçlı yazılım üretenlerin hala bu alanda da aktif olduğunu ve kullanıcıların kimlik bilgilerinin çalınarak kuruluşlara büyük ve önemli zararlar verilebileceği unutulmamalıdır”.
Cisco Talos’un bu varyantla ilgili teknik detaylarında bulunduğu blog yazısına buradan ulaşabilirsiniz.
‘ Pidgin messenger istemcisi, Discord, NordVPN, Outlook, Thunderbird, Firefox, QQ Browser ve Chrome tabanlı tarayıcılardan (Chromium,Edge,Opera,Brave)’ bu durumda geriye ne kaldı?