Logiciel malveillant XPCTRA

Le XPCTRA Malware est une nouvelle souche de malware bancaire déployée principalement contre les utilisateurs brésiliens. Les principaux aspects attendus d'une menace de ce type sont également présents ici. XPCTRA peut collecter les informations d'identification des utilisateurs auprès de plusieurs institutions financières, dont deux grandes banques brésiliennes. Cependant, les capacités menaçantes de la menace vont bien au-delà de ce point, car elle peut également collecter des informations d'identification pour les crypto-portefeuilles numériques en ligne à partir de services tels que Blockchain.info, PerfectMoney et Neteller. De plus, il établit un canal de porte dérobée en supprimant un RAT (Remote Access Trojan).

Pour son vecteur d'attaque initial, XPCTRA s'appuie sur des e-mails de phishing prétendant porter des factures bancaires importantes pour l'utilisateur. Tout cela est faux, bien sûr, et lorsque la facture PDF supposée est exécutée, un compte-gouttes menaçant est téléchargé sur le système informatique de l'utilisateur à la place. Le compte-gouttes agit comme une charge utile de première étape chargée de fournir une archive .zip contenant la charge utile XPCTRA principale.

Une fois à l'intérieur du système ciblé, le malware bancaire procède à la création d'un mécanisme de persistance pour lui-même ainsi qu'à l'établissement d'un outil proxy HTTP appelé Fiddler. Cet outil permet à XPCTRA de surveiller et d'intercepter l'accès des utilisateurs aux institutions financières ciblées. Toutes les informations d'identification volées sont exfiltrées vers le serveur de commande et de contrôle des pirates via un canal de communication non chiffré. Les services de messagerie de l'utilisateur tels que Microsoft Live, Terra, IG et Hotmail sont également compromis et les listes de contacts obtenues sont utilisées pour propager davantage la menace.

XPCTRA ne se limite pas uniquement au vol d'informations d'identification. Il étend ses capacités de menace en fournissant une infrastructure RAT (Remote Access Trojan) connue sous le nom de Quasar RAT à la victime compromise. Grâce à ce canal, les pirates peuvent télécharger des modules de charge utile supplémentaires, établir des enregistreurs de frappe, exfiltrer des fichiers sélectionnés, etc.