Malware koji krade lozinke

Analitičari malwarea iz kompanije Barracuda Networks otkrili su novi sofisticirani phishing napad koji uključuje nevidljivi malware za krađu informacija koji eksfiltrira širok spektar osjetljivih podataka. Ovaj malver ne krade samo sačuvane lozinke već i kolačiće sesije, informacije o kreditnim karticama, ekstenzije u vezi sa Bitcoinom i historiju pretraživanja. Prikupljeni podaci se zatim šalju kao prilog na određenu email adresu.

Prema upozorenju koje je objavio Barracuda Networks, napad počinje phishing emailom koji primaoce podstiče da otvore file u prilogu koji se odnosi na neku kupovinu.

Ovi emailovi, koji imaju gramatičke greške, dolaze sa lažne adrese. Prilog sadrži ISO file, preciznu repliku podataka sa optičkih diskova poput CD-a ili DVD-a. U ovom fajlu je HTA (HTML aplikacija) fajl, koji omogućava pokretanje aplikacije na računaru bez bezbjednosnih ograničenja web pretraživača. Nakon toga aktivira se malware i to tako što se najprije sa servera preuzima i pokreće JavaScript file, koji zatim pokreće PowerShell file koji preuzima ZIP file sa istog servera koji krije malware za krađu informacija.

Malware nakratko radi na prikupljanju podataka, a zatim briše sve fileove, uključujući i sebe, kako bi izbjegao otkrivanje. Dizajniran je da prikuplja različite informacije i fileove pregledača. On izvlači MasterKeys iz pretraživača kao što su Chrome, Edge, Yandex i Brave i snima kolačiće sesije, sačuvane lozinke, informacije o kreditnoj kartici i historiju pregledača.