Uma nova campanha de malware está ongogin e permite roubar credenciais de serviços ebanking, recolher endereços de e-mail comerciais e obter acesso remoto à máquina da vítima.
De acordo com a análise da TrendMicro, o fileless malware com vários ficheiros .BAT é capaz de estabelecer a conexão com um endereço IP e faz o download dos trojans PowerShell e instala também a ferramenta para post-explotation.
A campanha maliciosa tem como alvo utilizadores ebanking do Brasil e Taiwan.
O malware rouba os detalhes das contas bancárias do utilizador e regista os dados inseridos pelas vítimas nos websites que esta visita. Através da exfiltração de dados, os atacantes podem lançar campanhas de spear phishing, atacando indivíduos específicos.
A cadeia de infeção começa com um filess banking trojan. Depois da infeção inicial, ele liga-se a um IP remoto (hxxp://35[.]227[.]52[.]26/mods/al/md[.]zip) para descarregar código Powershell que finalmente descarrega outros executáveis de outras URLs.
Em seguida, ele dropa um ficheiro .LNK na startup folder do Windows e força o sistema a reiniciar depois de três minutos e cria uma tela de bloqueio que força o utilizador a inserir as credenciais de login e, usando o recurso ‘system’s security login’, verifica as credenciais de login .
Além disso, o malware envia as credenciais para o C2 e oculta sua atividade excluindo todos os ficheiros nas pastas de inicialização.
Outro trojan também descarregado inicialmente é responsável por recolher o endereço de e-mail da vítima abrindo o outlook, exfiltrar informação, e no final, enviá-la para o C2.
O malware também usa a ferramenta RADMIN para post-explotation, que dá aos invasores acesso total ao sistema. Esta é uma ferramenta para apoio remoto utilizada por profissionais de IT.
“Considering that the attackers’ narrowed their target, the cybercriminals may be in research and development stage, gathering information from the three banks and its users for a bigger attack,” reads TrendMicro blog post.