Un nouvel enregistreur de frappe appelé "Mass Logger" est actuellement suivi par Cofense Intelligence et les chercheurs en sécurité pensent qu'il pourrait avoir un impact significatif sur le marché plus large des enregistreurs de frappe ainsi que sur le paysage des menaces de phishing.
Les Keloggers constituent aujourd'hui le plus grand volume de campagnes de phishing uniques par type de malware et continuent de croître en popularité et en sophistication.
La raison pour laquelle Cofense est si préoccupé par Mass Logger est due à la rapidité avec laquelle le malware est mis à jour. Son auteur met constamment à jour et améliore Mass Logger, ce qui permet aux cybercriminels déployant le logiciel malveillant de surmonter les mesures de sécurité prises pour le détecter et le défendre. Ce développement rapide permet également au créateur du malware d'ajouter rapidement des fonctionnalités en réponse aux commentaires des clients.
Cofense Intelligence a identifié une campagne qui utilisait un exécutable GuLoader attaché pour fournir un binaire Mass Logger chiffré. GuLoader lui-même est un mécanisme de diffusion de logiciels malveillants populaire qui télécharge des charges utiles chiffrées hébergées sur des plateformes de partage de fichiers légitimes. L'e-mail utilisé dans la campagne a également été récemment vu dans une campagne d'agent enregistreur de frappe Tesla qui pourrait indiquer que certains cybercriminels ont déjà décidé de passer de l'agent Tesla à l'utilisation de Mass Logger.
Sommaire
Fonctionnalité supplémentaire
Le créateur de Mass Logger, connu sous le nom de NYANxCAT, est également responsable de plusieurs autres types de logiciels malveillants bien connus, notamment LimeRAT, AsyncRAT et d'autres chevaux de Troie d'accès à distance. Le malware de NYANxCAT est généralement riche en fonctionnalités et facile à utiliser, ce qui permet une adoption facile par les acteurs amateurs de la menace. Cependant, de nombreuses fonctionnalités intégrées à Mass Logger sont assez avancées, comme sa capacité de diffusion USB.
NYANxCAT continue d'améliorer les fonctionnalités de Mass Logger grâce à des mises à jour et récemment, 13 mises à jour ont été publiées en seulement trois semaines. Dans les notes de mise à jour, NYANxCAT a expliqué que de nouvelles cibles ont été ajoutées pour la fonctionnalité de vol d'informations d'identification de l'enregistreur de frappe et que des mesures ont été prises pour réduire la détection automatisée.
Des fonctionnalités sophistiquées aident à distinguer Mass Logger des autres logiciels malveillants courants. Par exemple, il comprend une fonction qui permet aux cybercriminels de rechercher des fichiers avec une extension de fichier spécifique et de les exfiltrer.
Pour se défendre contre Mass Logger et d'autres menaces similaires, Cofense recommande aux administrateurs réseau de surveiller les sessions FTP ou les e-mails envoyés à partir de réseaux locaux qui ne sont pas conformes aux normes de leur organisation.