Ovaj zlonamjerni softver ne samo da krade sačuvane lozinke, već i kolačiće sesije, informacije o kreditnim karticama, ekstenzije vezane za Bitcoin i historiju pretraživanja. Prikupljeni podaci se kasnije šalju kao prilog na određenu email adresu.
Prema upozorenju koje je objavila kompanija Barracuda Networks, napad počinje phishing emailom koji podstiče primaoce da otvore prilog koji se odnosi na kupovinu.
Ovi emailovi, koji sadrže gramatičke greške, dolaze sa lažnih adresa. Prilog sadrži ISO fajl, preciznu kopiju podataka sa optičkih diskova poput CD-a ili DVD-a. U tom fajlu se nalazi HTA (HTML aplikacija), koja omogućava pokretanje aplikacije na računaru bez sigurnosnih ograničenja veb pregledača, prenosi B92.
Nakon toga, zlonamjerni softver se aktivira tako što se prvo preuzima i pokreće JavaScript fajl sa servera, koji zatim pokreće PowerShell fajl koji preuzima ZIP fajl sa istog servera, u kom se krije softver za krađu informacija.
Zlonamjerni softver privremeno prikuplja informacije, a zatim briše sve fajlove, uključujući samog sebe, kako bi izbjegao otkrivanje.
Dizajniran je da sakuplja različite informacije i fajlove pregledača.
Izvlači MasterKeys iz pregledača kao što su Chrome, Edge, Yandex i Brave, te čuva kolačiće sesije, sačuvane lozinke, informacije o kreditnoj kartici i historiju pregledača. Također, kopira podatke iz ekstenzija pregledača vezanih za Bitcoin, kao što su MetaMask i Coinbase Wallet.
Zlonamjerni softver krade i PDF fajlove, zipuje komplete foldere, uključujući one na desktopu, u folderima Downloads i Documents, i određene %AppData% foldere. Ukradeni podaci se kasnije šalju emailom na različite adrese na domenu maternamedical.top, pri čemu je svaka adresa namijenjena za određene vrste informacija, poput kolačića, PDF fajlova i ekstenzija pregledača.
BONUS VIDEO
Izvor: ( aloonline.ba / HitMuzika.com )