Masslogger特洛伊木马升级为窃取您的所有Outlook、Chrome凭据

一个以Windows系统为目标而臭名昭著的凭证窃取者在一场新的网络钓鱼活动中重新露面，该活动旨在从Microsoft Outlook、Google Chrome和instant messenger应用程序中窃取凭证。

从1月中旬开始，这些攻击主要针对土耳其、拉脱维亚和意大利的用户，涉及使用MassLogger—；A.基于NET的恶意软件，具有阻止静态分析的能力—；基于同一参与者在2020年9月、10月和11月针对保加利亚、立陶宛、匈牙利、爱沙尼亚、罗马尼亚和西班牙用户开展的类似活动。

MassLogger于去年4月首次在野外被发现，但一种新变种的出现意味着恶意软件作者正在不断重组他们的武器库，以逃避检测并将其牟利。

Cisco Talos的研究人员周三表示：“尽管Masslogger特洛伊木马的操作之前已有记录，但我们发现新的活动以使用编译的HTML文件格式启动感染链而著名。”。

编译HTML（或.CHM）是由Microsoft开发的专有在线帮助格式，用于提供基于主题的参考信息。

新一波攻击始于网络钓鱼信息，其中包含看似与企业相关的“合法”主题行。

其中一封针对土耳其用户的电子邮件主题为“国内客户查询”，邮件正文引用了所附的报价。在9月、10月和11月，这些电子邮件采取了“谅解备忘录”的形式，敦促收件人签署文件。

无论邮件主题是什么，附件都遵循相同的格式：RAR多卷文件扩展名（例如，“70727_YK90054_Teknik_Cizimler.R09”），以绕过使用默认文件扩展名“.RAR”阻止RAR附件的尝试

这些附件包含一个已编译的HTML文件，打开时显示消息“Customer service”，但实际上嵌入了模糊的JavaScript代码来创建HTML页面，它又包含一个PowerShell downloader，用于连接到合法服务器，并获取最终负责启动MassLogger负载的加载程序。

最新版本的MassLogger（版本3.0.7563.31381）除了通过SMTP、FTP或HTTP过滤聚集的数据外，还具有从Pidgin messenger客户端、Discord、NordVPN、Outlook、Thunderbird、Firefox、QQ浏览器以及Chrome、Edge、Opera和Brave等基于Chrome的浏览器窃取凭据的功能。

“Masslogger可以配置为键盘记录器，但在这种情况下，参与者已禁用此功能，”研究人员指出，并补充说，威胁参与者在Exfilter服务器上安装了一个版本的Masslogger控制面板。

由于该活动几乎完全执行，并且只在内存中显示（编译的HTML帮助文件除外），因此进行定期内存扫描的重要性怎么强调都不过分。

研究人员总结道：“建议用户将系统配置为记录PowerShell事件，例如模块加载和执行的脚本块，因为他们将以未使用的格式显示执行的代码。”。