MASSLOGGER TROJAN ZARARLISI

 Tehdit aktörleri, mağdurların kimlik bilgilerini Microsoft Outlook, Google Chrome ve çeşitli anlık mesajlaşma hesaplarından ele geçirmek için tasarlanmış bir casus yazılım olan Masslogger Trojan’ın yeni bir versiyonu ile Windows kullanıcılarını hedeflemektedir. Güvenlik araştırmacıları, Ocak ayı ortasından itibaren İtalya, Letonya ve Türkiye’deki kullanıcıları hedefleyen kampanyayı ortaya çıkarmıştır.

 Masslogger, .NET ile yazılmış, tarayıcı, e-posta ve anlık mesajlaşma bilgilerini ele geçiren bir casus yazılım programıdır. Trojan Nisan ayında piyasaya sürülmüş ve hala yeraltı forumlarında satılmaya devam etmektedir. 

Söz konusu saldırı hedeflere meşru görünümlü konu satırları içeren e-posta mesajları gönderilmesiyle başlamaktadır. Bu e-postalar, RAR uzantılı dosyalar içermektedir ancak, RAR dosyalarının tipik dosya uzantıları .rar iken, tehdit aktörleri bu dosyaları .chm dosya uzantısıyla gizlemektedir. Bu, Masslogger için yeni bir harekettir ve amacı zararlı yazılımın potansiyel savunma programlarından kaçınmasına yardımcı olmaktır. Aksi takdirde RAR dosya uzantısına bağlı olarak e-posta eki engellenebilmektedir.

 Derlenmiş HTML (CHM) dosya biçimi yardım dokümantasyonu için kullanılmaktadır. Dosyalar sıkıştırılmış bir HTML biçiminde derlenmekte ve kaydedilmektedir. 

Metin, resim ve köprüler içerebilmektedirler. CHM dosyaları, Windows programları tarafından bir çevrimiçi yardım çözümü olarak kullanılmaktadır. 

Ekli dosyalar, açıldıktan sonra etkin bulaşma sürecini başlatan, Obfuscation (gizleme) teknikleri ile oluşturulmuş JavaScript kodlu gömülü bir HTML dosyası içermektedir. Etkin bulaşma süreci başladıktan sonra bir PowerShell betiği yürütülmektedir ve böylece Masslogger payload indirilmektedir. 

Hedeflenen uygulamalardan alınan kimlik bilgileri, kullanıcı adı, iki harfli ülke kimliği, benzersiz cihaz kimliği ve dosyanın oluşturulduğu zamana ilişkin zaman damgasını içeren bir dosya adı ile tehdit aktörlerinin sunucularına yüklenmektedir.

Masslogger payloadı, aşağıdaki uygulamalardan kullanıcıların kimlik bilgilerini hedefleme ve ele geçirme işlevlerini içermektedir: 

• Pidgin (ücretsiz ve açık kaynaklı çoklu platform anında mesajlaşma istemcisi) 

• FileZilla Dosya Aktarım Protokolü (FTP) istemcisi 

• Discord grup sohbet platformu 

• NordVPN 

• Outlook 

• FoxMail 

• Firefox 

• Thunderbird 

• QQ Browser 

• Chromium tabanlı tarayıcılar (Chrome, Chromium, Edge, Opera ve Brave)

Masslogger ile düzenlenen saldırılara hedef sektör ile ilgili ve “meşru” görünen başlıklar kullanıldığı tespit edildi. Örnek olarak bir Türk kullanıcıyı hedef alan saldırı e-postasında “Yurtiçi Müşteri Sorgulama” başlığı kullanıldığı; Eylül, Ekim ve Kasım aylarındaki Masslogger içerikli e-postalarda zararlı yazılımın “Mutabakat Zaptı” ismi ile kullanıcının imzalaması gereken bir doküman görünümünde olduğu tespit edildi. 

e-posta teması ne olursa olsun yazılımın yer aldığı sıkıştırılmış dosyanın, .RAR uzantılı e-posta eklerinin engellenme girişimine takılmamak için çok katmanlı dosya adı uzantısı olan .R09’u kullandığı, açıldığında “müşteri hizmetleri” mesajı içeren bir derlenmiş HTML dosyasına gizlenen JavaScript kodunun arka planda çalıştırılarak PowerShell indiricisi aracılığıyla Masslogger’ı çalıştırarak yükleyiciyi sunucudan indirdiği biliniyor. 

Araştırmacılar, kampanyanın arkasındaki tehdit aktörünün, Eylül ayına kadar uzanan diğer saldırılarla bağlantılı olduğu varsayımı üzerinde durmaktadır. 

Bu kampanyalar birkaç Avrupa ülkesini hedeflemiş ve odaklarını aylık olarak değiştirmişlerdir. Araştırmacılar tarafından Bulgaristan, Estonya, Macaristan, İtalya, Letonya, Litvanya, Romanya, İspanya ve Türkiye’yi hedefleyen e-posta mesajlarının yanı sıra İngilizce yazılmış mesajlar da tespit edilmiştir. 

Kullanıcıların bilinmeyen taraflar tarafından gönderilen e-posta ve eklerini asla açmamaları veya bu şekilde gönderilen bir programı çalıştırmamaları önemle tavsiye edilmektedir.