Dmechant Malware
Un potente malware para robar información se está distribuyendo a través de mensajes de correo electrónico de cebo que llevan archivos adjuntos de Word armados. Los correos electrónicos de señuelos pretenden provenir de un gerente de compras sobre los detalles de un supuesto pedido. El correo electrónico insta al usuario desprevenido a revisar los detalles contenidos en un archivo de Word adjunto antes de confirmarlos. Como suele ser el caso, el documento de Word tiene una macro dañada en su interior, que entrega una carga útil de malware al sistema de la víctima. El malware observado parece ser una creación única que no está asociada con ninguna de las familias de malware preestablecidas. Actúa como un recolector de credenciales y criptomonedas. Los investigadores de infosec que detectaron por primera vez la amenaza la llamaron dmechant Malware.
Un aspecto curioso de la campaña es que los contenidos del documento de Word están escritos íntegramente en español. Si esto significa que los atacantes están interesados principalmente en países de habla hispana o tienen correos electrónicos de señuelos dedicados para diferentes territorios, no se puede determinar en este momento. El texto en sí finge que el contenido del documento de Word no se puede mostrar debido a la incompatibilidad de la versión e indica a la víctima potencial que haga clic en el botón "Habilitar contenido". Al hacerlo, se iniciará la ejecución del malware dmechant inmediatamente.
La etapa inicial de la actividad de dmechant
El archivo de carga útil dmechant se coloca en el sistema comprometido como 'erbxcb.exe', un ejecutable que pretende ser un documento PDF. Tras su ejecución, la carga útil realiza varias acciones preparatorias que sirven para facilitar sus verdaderas metas inseguras. Por ejemplo, la carga útil genera una nueva carpeta en el sistema en '% AppData% \ bplg' y luego mueve su ejecutable principal allí. Luego, establece un mecanismo de persistencia agregando el archivo copiado al grupo de ejecución automática del Registro del sistema. El malware también carga un archivo descomprimido llamado% Temp% \ arwtfgxjpx80 en la memoria y llama a una función encargada de su descifrado. Posteriormente, la amenaza es capaz de extraer un archivo PE ejecutable completamente en la memoria.
La información recopilada por dmechant
El malware dmechant persigue un amplio conjunto de información privada confidencial, como direcciones de billetera criptográfica y credenciales de cuenta. La amenaza parece estar interesada en recopilar perfiles de las carteras criptográficas instaladas en el dispositivo comprometido predominantemente. Está equipado con diez instancias de software predefinidas que busca. La lista incluye Zcash, Armory, Bytecoin, Jaxx Liberty, Exodus, Ethereum, Electrum, Atomic, Guarda y Coinomi. Siempre que se encuentra una billetera criptográfica adecuada, la amenaza procede a copiar la carpeta completa que contiene los datos del perfil y luego colocarla en su carpeta de inicio en '% AppData% \ Microsoft \ Windows \ Templates'. Toda la información recopilada se archivará como un archivo ZIP y luego se exfiltrará a los atacantes como un archivo adjunto de correo electrónico.
Además, dmechant también intenta acceder a las credenciales de una lista de 28 navegadores web predefinidos. Todos los datos encontrados se moverán una vez más a la carpeta de inicio, pero esta vez se guardarán dentro de un archivo recién generado llamado 'credentials.txt'. Entre los navegadores específicos se encuentran Chrome, Vivaldi, Yandex, Opera, 360 Browser, Brave Browser, Kometa, Sputnik, Sleipnir 6, Edge Chromium y más. Además de los navegadores, el malware dmechant también es capaz de comprometer a los clientes de software y recopilar las credenciales guardadas. Estos incluyen Outlook, CoreFTP, FileZilla, NordVPN, FoxMail, Thunderbird y más.
