骇客运用木马程式Masslogger，窃取用户10多种上网应用程序的登入账号与密码

最近两年，意图窃取用户电脑机密的木马程式攻击行动，已有数起，而且开始出现一些较为罕见的手法，来规避资安系统的侦测，例如，新版Agent Tesla木马程式透过Telegram的API向C&C中继站通讯，进而将窃得的资料传回给骇客。

而在2月初，思科揭露的Masslogger攻击行动，骇客锁定土耳其、拉脱维亚，以及意大利等地的电脑下手，并透过Windows应用程序的说明文件档案（CHM）来启动攻击流程。思科也对于骇客在各攻击阶段所使用的工具，如钓鱼邮件、程式码档案、恶意程式启动器（Loader）等，提供入侵指标（IoC），让网管人员能加以防范。

基本上，CHM档案被攻击者滥用的情况可说是时有所闻，但在散播这种侧录用户资料的木马程式上，骇客大多是在钓鱼邮件挟带Word文件或PDF文件，思科指出，这起攻击行动采用的CHM档案，是过往Masslogger木马程式从未出现过的手法。而侧录程式过往可能是埋入在网站中，只有浏览该网站的使用者会受到影响，再者，也有类似Masslogger渗透到用户电脑运作的手法，但大多锁定特定的浏览器或是应用程序，收集特定的账号与密码，而不像Masslogger可同时锁定多种类型的上网应用程序。

不过，木马程式Masslogger并非首度被发现，上一波攻击大约从去年的9月至11月，骇客锁定保加利亚、立陶宛、匈牙利、爱沙尼亚、罗马尼亚，以及西班牙等国下手。这个木马程式以.NET语言编写而成，会窃取多种常见上网应用程序的账号及密码，这些应用程序包含网页浏览器（Chrome、Edge、Opera、Brave、Firefox、QQ浏览器），电子邮件软件（Outlook、Thunderbird、Foxmail），即时通讯软件（Pidgin、Discord），以及VPN用户端连线程式NordVPN等。

而这次Masslogger攻击引起思科的关切，主要在于骇客植入该木马程式的手法。与许多恶意软件相同的是，骇客透过钓鱼邮件的附件来挟带作案工具，但此起攻击的过程中，为了规避资安防护系统的侦测，攻击者使用了RAR分割压缩档的副档名（如R00、R04、R15等），来挟带作案用的工具，但实际上这是可独立运作的压缩档案，而该压缩档内有1个CHM档案。

此外，骇客为了让受害者相信附件是安全的，在部分钓鱼邮件的签名档里，还会加上“此邮件通过iOS智慧扫描”的叙述。

一旦使用者开启附件压缩档案里面的CHM档案，电脑就会出现HTML网页，内容是“客户服务，请稍候”。但在此同时，该CHM档案里嵌入的ActiveX物件就会随之触发，并执行PowerShell程式码下载启动器，接着再利用DLL启动器来载入Masslogger的酬载。思科指出，从CHM档触发后，Masslogger执行侧录的过程几乎都是在内存内运作，受害者在电脑磁盘里会看到的作案工具，仅有电子邮件的附件与CHM档案。

至于攻击者的身份为何？思科并未揭露其组织名称，但表明这些骇客曾经在2020年4月开始，运用其他的木马程式发动攻击，这些木马程式包含了Agent Tesla、Formbook，以及AsyncRAT等。