Dmechant Malware
Un puissant logiciel malveillant de vol d'informations est distribué via des messages électroniques d'appât contenant des pièces jointes Word militarisées. Les e-mails leurres prétendent provenir d'un responsable des achats concernant les détails d'une prétendue commande. L'e-mail exhorte l'utilisateur sans méfiance à examiner les détails contenus dans un fichier Word joint avant de les confirmer. Comme c'est généralement le cas, le document Word contient une macro corrompue qui fournit une charge utile de malware au système de la victime. Le malware observé semble être une création unique qui n'est associée à aucune des familles de malwares préétablies. Il agit comme un crypto-wallet et un collecteur d'informations d'identification. Les chercheurs d'infosec qui ont détecté la menace pour la première fois l'ont nommée dmechant Malware.
Un aspect curieux de la campagne est que le contenu du document Word est entièrement rédigé en espagnol. Si cela signifie que les attaquants s'intéressent principalement aux pays hispanophones ou qu'ils ont des e-mails leurres dédiés pour différents territoires, cela ne peut pas être déterminé pour le moment. Le texte lui-même prétend que le contenu du document Word ne peut pas être affiché en raison d'une incompatibilité de version et demande à la victime potentielle de cliquer sur le bouton « Activer le contenu ». Cela lancera immédiatement l'exécution du logiciel malveillant dmechant.
La phase initiale de l'activité de dmechant
Le fichier de charge utile dmechant est déposé sur le système compromis en tant que « erbxcb.exe », un exécutable qui prétend être un document PDF. Lors de son exécution, la charge utile effectue plusieurs actions préparatoires qui servent à faciliter ses véritables objectifs dangereux. Par exemple, la charge utile génère un nouveau dossier sur le système à « %AppData%\bplg », puis y déplace son exécutable principal. Ensuite, il établit un mécanisme de persistance en ajoutant le fichier copié dans le groupe d'exécution automatique du registre système. Le malware charge également un fichier décompressé nommé %Temp%\ arwtfgxjpx80 en mémoire et appelle une fonction chargée de son décryptage. Par la suite, la menace est capable d'extraire un fichier PE exécutable entièrement en mémoire.
Les informations collectées par dmechant
Le malware dmechant s'attaque à un large éventail d'informations privées sensibles telles que les adresses de portefeuille cryptographique et les informations d'identification de compte. La menace semble s'intéresser principalement à la collecte de profils à partir des portefeuilles cryptographiques installés sur l'appareil compromis. Il est équipé de dix instances logicielles prédéfinies qu'il recherche. La liste comprend Zcash, Armory, Bytecoin, Jaxx Liberty, Exodus, Ethereum, Electrum, Atomic, Guarda et Coinomi. Chaque fois qu'un crypto-wallet approprié est trouvé, la menace copie l'intégralité du dossier contenant les données de profil, puis le dépose dans son dossier de départ à l'adresse « %AppData%\Microsoft\Windows\Templates ». Toutes les informations collectées seront archivées sous forme de fichier ZIP, puis exfiltrées vers les attaquants sous forme de pièce jointe à un e-mail.
De plus, dmechant essaie également d'accéder aux informations d'identification à partir d'une liste de 28 navigateurs Web prédéfinis. Toutes les données trouvées seront à nouveau déplacées vers le dossier de départ, mais cette fois enregistrées dans un fichier nouvellement généré nommé « credentials.txt ». Parmi les navigateurs ciblés figurent Chrome, Vivaldi, Yandex, Opera, 360 Browser, Brave Browser, Kometa, Sputnik, Sleipnir 6, Edge Chromium et plus encore. Outre les navigateurs, le malware dmechant est également capable de compromettre les clients logiciels et de collecter les informations d'identification enregistrées. Ceux-ci incluent Outlook, CoreFTP, FileZilla, NordVPN, FoxMail, Thunderbird et plus encore.
