Dmechantマルウェア

強力な情報盗用マルウェアが、武器化されたWordの添付ファイルを含む餌の電子メールメッセージを介して配布されています。ルアーの電子メールは、想定される注文の詳細について購入マネージャーから送信されたように見せかけます。電子メールは、疑いを持たないユーザーに、添付されたWordファイルに含まれている詳細を確認してから確認するように促します。通常の場合と同様に、Word文書には破損したマクロが含まれており、マルウェアのペイロードを被害者のシステムに配信します。観察されたマルウェアは、事前に確立されたマルウェアファミリーのいずれにも関連付けられていない独自の作成物のようです。これは、暗号ウォレットおよび資格情報コレクターとして機能します。脅威を最初に検出した情報セキュリティ研究者は、それをdmechantマルウェアと名付けました。

キャンペーンの興味深い点は、Word文書の内容がすべてスペイン語で書かれていることです。これが、攻撃者が主にスペイン語圏の国に関心を持っていること、または攻撃者がさまざまな地域に専用のルアーメールを持っていることを意味する場合、現時点では特定できません。テキスト自体は、バージョンの非互換性のためにWord文書のコンテンツを表示できないように見せかけ、潜在的な被害者に[コンテンツを有効にする]ボタンをクリックするように指示します。そうすることで、dmechantマルウェアの実行がすぐに開始されます。

dmechantの活動の初期段階

dmechantペイロードファイルは、PDFドキュメントのふりをする実行可能ファイルである「erbxcb.exe」として侵害されたシステムにドロップされます。ペイロードは、実行されると、真の危険な目標を促進するのに役立ついくつかの準備アクションを実行します。たとえば、ペイロードはシステム上に '％AppData％\ bplg'に新しいフォルダーを生成し、そのメインの実行可能ファイルをそこに移動します。次に、コピーしたファイルをシステムレジストリの自動実行グループに追加することにより、永続性メカニズムを確立します。このマルウェアはまた、％Temp％\ arwtfgxjpx80という名前の解凍されたファイルをメモリにロードし、その復号化を担当する関数を呼び出します。その後、脅威は実行可能なPEファイルを完全にメモリに抽出することができます。

dmechantによって収集された情報

dmechantマルウェアは、暗号ウォレットアドレスやアカウントの資格情報など、さまざまな機密性の高い個人情報を追跡します。脅威は、主に侵害されたデバイスにインストールされている暗号ウォレットからプロファイルを収集することに関心があるようです。検索する10個の事前定義されたソフトウェアインスタンスが装備されています。リストには、Zcash、Armory、Bytecoin、Jaxx Liberty、Exodus、Ethereum、Electrum、Atomic、Guarda、Coinomiが含まれます。適切な暗号ウォレットが見つかると、脅威はプロファイルデータを含むフォルダー全体をコピーし、それをホームフォルダーの「％AppData％\ Microsoft \ Windows \ Templates」にドロップします。収集されたすべての情報はZIPファイルとしてアーカイブされ、電子メールの添付ファイルとして攻撃者に盗み出されます。

さらに、dmechantは、28個の事前定義されたWebブラウザーのリストから資格情報にアクセスしようとします。見つかったすべてのデータは再びホームフォルダに移動されますが、今回は「credentials.txt」という名前の新しく生成されたファイル内に保存されます。対象となるブラウザには、Chrome、Vivaldi、Yandex、Opera、360ブラウザ、Braveブラウザ、Kometa、Sputnik、Sleipnir 6、EdgeChromiumなどがあります。ブラウザとは別に、dmechantマルウェアは、ソフトウェアクライアントを危険にさらし、保存された資格情報を収集することもできます。これらには、Outlook、CoreFTP、FileZilla、NordVPN、FoxMail、Thunderbirdなどが含まれます。