O e-mail parece inócuo o suficiente e pode fazer com que um alvo clique em um arquivo que foi anexado ao lado da mensagem. Mas é aí que reside o perigo, com este anexo um arquivo HTML malicioso que executa Javascript e inicia o processo de infecção do Masslogger.
Essa última variante do malware é capaz de roubar as credenciais do usuário de uma ampla variedade de programas populares. Os aplicativos destacados incluem Google Chrome, navegadores com Chromium como Microsoft Edge, Outlook, Discord e NordVPN.
Explicando o que acontece quando suas credenciais de login são roubadas, Cisco Talos disse: “Assim que as credenciais dos aplicativos alvo são recuperadas, elas são carregadas para o servidor de exfiltração com um nome de arquivo contendo o nome de usuário, ID de duas letras do país, ID de máquina exclusiva e o carimbo de data / hora para quando o arquivo foi criado.
“Os arquivos de credenciais carregados começam com as informações sobre o usuário e o sistema infectado, opções de configuração e processos em execução, seguidos pelas credenciais recuperadas delimitadas por linhas contendo nomes de aplicativos alvo.”
Até agora, esta campanha de malware não atingiu o Reino Unido ou os Estados Unidos, com segmentação em regiões como Itália, Turquia e Espanha. E a partir dos e-mails que o Cisco Talos viu, parece que os invasores estão mirando em alvos comerciais específicos.