Новый безфайловый вариант Masslogger распространяется через .VBE и скрывается в реестре Windows

Атака стартует с .VBE-файла, который распространяется через спам-рассылки или загрузки с сомнительных сайтов. Этот файл содержит закодированный VBScript, защищенный от простого анализа. После декодирования скрипт раскрывает многослойную обфускацию и модульную структуру, что усложняет его изучение.

После запуска скрипт создает в реестре Windows специальные ключи и значения, которые используются для хранения и выполнения вредоносного кода. Ключи записываются в раздел HKCU\Software\, а их названия и данные хранятся в зашифрованном виде. Например, в реестре появляются записи, содержащие команды PowerShell, которые загружают в память первый этап вредоносной программы (Stager-1).

Masslogger работает в несколько этапов. Сначала Stager-1 загружает из реестра следующий компонент - Stager-2, который уже отвечает за извлечение и выполнение основного вредоносного модуля. Весь процесс происходит в памяти, что делает его практически незаметным для традиционных антивирусных решений.

Интересно, что этот вариант Masslogger проверяет язык системы и местоположение жертвы. Если система настроена на французский язык и регион Франции, вредоносная программа пытается загрузить дополнительный модуль с удаленного сервера.

Основная цель Masslogger - сбор учетных данных из браузеров (Chrome, Firefox, Edge) и почтовых клиентов (Outlook, Thunderbird). Украденные данные отправляются злоумышленникам через FTP, SMTP или Telegram-бота.

Новый вариант Masslogger демонстрирует, как злоумышленники адаптируются к современным средствам защиты, используя файловые методы и сложную многоступенчатую архитектуру. Безопасность теперь требует не только сигнатурного анализа, но и глубокого мониторинга процессов и реестра.

URLs

• https://144.91.92.251/MoDi.txt

MD5

• 1e11b72218448ef5f3fca3c5312d70db
• 29dbd06402d208e5ebae1fb7ba78ad7a
• 2f1e771264fc0a782b8ab63ef3e74623
• 37f0eb34c8086282752af5e70f57d34c
• f30f07ebd35b4c53b7db1f936f72be93