Analisi tecnica del Malware Hunter JAMESWT

MassLogger colpisce anche oggi con due campagne che si basano sui file compressi. Una veicola il malware attraverso un eseguibile all’interno di un file .7z e l’altra con un CHM in un allegato .R15 o .R04

MassLogger colpisce anche oggi con due campagne malspam diverse che si basano sulla solita falsa fattura o documento da firmare e sui file compressi. Nella prima email (rilevata da abuse.ch) c’è un allegato .7z, con all’interno un eseguibile che contatta una url da cui viene scaricata una finta immagine. Questa, nel momento della decodifica, lancia la catena d’infezione del malware. Nella seconda, il processo finale è identico (foto fake che avvia l’infezione, ma invece dell’eseguibile c’è un file CHM (Microsoft Compiled HTML Help, rilevato da MasterToba) e l’attachment è un file R15 o R04. Il keylogger ruba credenziali di accesso e dati sensibili, i quali vengono trasmessi ai server C2 tramite ftp.

L’email con il file exe nell’allegato

L’email con il file CHM nell’attachment

DNS HTTP/HTTPS requests / Connection della mail con file exe

DNS HTTP/HTTPS requests / Connection della mail con il file CHM