Dmechant-Malware

Eine potente Malware zum Diebstahl von Informationen wird über Köder-E-Mail-Nachrichten mit waffenfähigen Word-Anhängen verbreitet. Die Lock-E-Mails geben vor, von einem Einkaufsmanager über die Details einer vermeintlichen Bestellung zu kommen. Die E-Mail fordert den ahnungslosen Benutzer auf, die in einer angehängten Word-Datei enthaltenen Details zu überprüfen, bevor er sie bestätigt. Normalerweise enthält das Word-Dokument ein beschädigtes Makro, das eine Malware-Nutzlast an das System des Opfers liefert. Die beobachtete Malware scheint eine einzigartige Kreation zu sein, die keiner der vorgefertigten Malware-Familien zugeordnet ist. Es fungiert als Krypto-Wallet- und Credentials-Sammler. Die infosec-Forscher, die die Bedrohung zuerst entdeckten, nannten sie dmechant Malware.

Ein merkwürdiger Aspekt der Kampagne ist, dass der Inhalt des Word-Dokuments vollständig auf Spanisch verfasst ist. Ob die Angreifer also überwiegend an spanischsprachigen Ländern interessiert sind oder dedizierte Lock-E-Mails für verschiedene Territorien haben, lässt sich derzeit nicht feststellen. Der Text selbst tut so, als ob der Inhalt des Word-Dokuments aufgrund von Versionsinkompatibilität nicht angezeigt werden könnte und weist das potenzielle Opfer an, auf die Schaltfläche „Inhalt aktivieren“ zu klicken. Dadurch wird die Ausführung der dmechant-Malware sofort eingeleitet.

Die Anfangsphase von dmechants Aktivitäten

Die dmechant-Nutzlastdatei wird auf dem kompromittierten System als 'erbxcb.exe' abgelegt, eine ausführbare Datei, die vorgibt, ein PDF-Dokument zu sein. Bei ihrer Ausführung führt die Nutzlast mehrere vorbereitende Aktionen durch, die dazu dienen, ihre wahren unsicheren Ziele zu erreichen. Die Nutzlast generiert beispielsweise einen neuen Ordner auf dem System unter '%AppData%\bplg' und verschiebt dann seine ausführbare Hauptdatei dorthin. Dann richtet es einen Persistenzmechanismus ein, indem es die kopierte Datei zur Autostart-Gruppe der Systemregistrierung hinzufügt. Die Malware lädt außerdem eine dekomprimierte Datei namens %Temp%\arwtfgxjpx80 in den Speicher und ruft eine Funktion auf, die mit ihrer Entschlüsselung beauftragt ist. Danach ist die Bedrohung in der Lage, eine ausführbare PE-Datei vollständig im Speicher zu extrahieren.

Die von dmechant gesammelten Informationen

Die dmechant-Malware verfolgt eine Vielzahl sensibler privater Informationen wie Krypto-Wallet-Adressen und Kontoanmeldeinformationen. Die Bedrohung scheint hauptsächlich daran interessiert zu sein, Profile von den auf dem kompromittierten Gerät installierten Krypto-Wallets zu sammeln. Es ist mit zehn vordefinierten Softwareinstanzen ausgestattet, nach denen es sucht. Die Liste umfasst Zcash, Armory, Bytecoin, Jaxx Liberty, Exodus, Ethereum, Electrum, Atomic, Guarda und Coinomi. Immer wenn eine geeignete Krypto-Wallet gefunden wird, kopiert die Bedrohung den gesamten Ordner mit den Profildaten und legt ihn dann in seinem Basisordner unter '%AppData%\Microsoft\Windows\Templates' ab. Alle gesammelten Informationen werden als ZIP-Datei archiviert und dann als E-Mail-Anhang an die Angreifer exfiltriert.

Darüber hinaus versucht dmechant auch, auf Anmeldeinformationen von einer Liste von 28 vordefinierten Webbrowsern zuzugreifen. Alle gefundenen Daten werden erneut in den Home-Ordner verschoben, diesmal jedoch in einer neu generierten Datei namens 'credentials.txt' gespeichert. Zu den Zielbrowsern gehören Chrome, Vivaldi, Yandex, Opera, 360 Browser, Brave Browser, Kometa, Sputnik, Sleipnir 6, Edge Chromium und mehr. Abgesehen von Browsern ist die dmechant-Malware auch in der Lage, Software-Clients zu kompromittieren und gespeicherte Anmeldeinformationen zu sammeln. Dazu gehören Outlook, CoreFTP, FileZilla, NordVPN, FoxMail, Thunderbird und mehr.