Tehdit aktörleri, mağdurların kimlik bilgilerini Microsoft Outlook, Google Chrome ve çeşitli anlık mesajlaşma hesaplarından ele geçirmek için tasarlanmış bir casus yazılım olan Masslogger Trojan’ın yeni bir versiyonu ile Windows kullanıcılarını hedeflemektedir. Güvenlik araştırmacıları, Ocak ayı ortasından itibaren İtalya, Letonya ve Türkiye’deki kullanıcıları hedefleyen kampanyayı ortaya çıkarmıştır.
Masslogger, .NET ile yazılmış, tarayıcı, e-posta ve anlık mesajlaşma bilgilerini ele geçiren bir casus yazılım programıdır. Trojan Nisan ayında piyasaya sürülmüş ve hala yeraltı forumlarında satılmaya devam etmektedir.
Söz konusu saldırı hedeflere meşru görünümlü konu satırları içeren e-posta mesajları gönderilmesiyle başlamaktadır. Bu e-postalar, RAR uzantılı dosyalar içermektedir ancak, RAR dosyalarının tipik dosya uzantıları .rar iken, tehdit aktörleri bu dosyaları .chm dosya uzantısıyla gizlemektedir. Bu, Masslogger için yeni bir harekettir ve amacı zararlı yazılımın potansiyel savunma programlarından kaçınmasına yardımcı olmaktır. Aksi takdirde RAR dosya uzantısına bağlı olarak e-posta eki engellenebilmektedir.
Derlenmiş HTML (CHM) dosya biçimi yardım dokümantasyonu için kullanılmaktadır. Dosyalar sıkıştırılmış bir HTML biçiminde derlenmekte ve kaydedilmektedir.
Metin, resim ve köprüler içerebilmektedirler. CHM dosyaları, Windows programları tarafından bir çevrimiçi yardım çözümü olarak kullanılmaktadır.
Ekli dosyalar, açıldıktan sonra etkin bulaşma sürecini başlatan, Obfuscation (gizleme) teknikleri ile oluşturulmuş JavaScript kodlu gömülü bir HTML dosyası içermektedir. Etkin bulaşma süreci başladıktan sonra bir PowerShell betiği yürütülmektedir ve böylece Masslogger payload indirilmektedir.
Hedeflenen uygulamalardan alınan kimlik bilgileri, kullanıcı adı, iki harfli ülke kimliği, benzersiz cihaz kimliği ve dosyanın oluşturulduğu zamana ilişkin zaman damgasını içeren bir dosya adı ile tehdit aktörlerinin sunucularına yüklenmektedir.