TrojanSpy.JS.WEIFRAIBO.B

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

情報収集

スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

• https://xx.{BLOCKED}k.is/{BLOCKED}c.php — receives intercepted API traffic from the Credifit financial admin portal
• https://xx.{BLOCKED}k.is/{BLOCKED}y.php — receives intercepted API traffic from the Inovanti onboarding platform

その他

スパイウェアは、以下を実行します。

• It intercepts all Fetch API calls and captures full request and response data of targeted web browsers.
• It intercepts all XMLHttpRequest calls to record method, URL, headers, request body, and response body for every HTTP request.
• It monitors certain URLs and exhibit the following behaviors when opened in the web browser:
  • admin.{BLOCKED}it.com.br:
    • Intercepts fetch API traffic
    • Submits the following hardcoded credential to the login endpoint:
      • email: {BLOCKED}@credifit.com.br
      • password: R$1milhao
    • Displays the following decoy webpage of the Credifit Admin Portal interface:

      

  • onboarding.{BLOCKED}ti.tec.br:
    • Intercepts fetch API traffic only

<補足>
情報収集

スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

• https://xx.{BLOCKED}k.is/{BLOCKED}c.php — Credifitの財務管理ポータルから傍受されたAPIトラフィックを受信する。
• https://xx.{BLOCKED}k.is/{BLOCKED}y.php — Inovantiのオンボーディングプラットフォームから傍受したAPIトラフィックを受信する

その他

スパイウェアは、以下を実行します。

• すべてのフェッチAPI呼び出しを傍受し、対象となるWebブラウザに対する完全なリクエストおよびレスポンスデータを取得します。
• すべての XMLHttpRequest 呼び出しを傍受し、すべてのHTTP リクエストに関する情報（メソッド、URL、ヘッダ、リクエストボディ、レスポンスボディ）を記録します。
• 特定のURLを監視し、Webブラウザで開かれると以下の動作を示します。
  • admin.{BLOCKED}it.com.br:
    • フェッチAPIトラフィックを傍受します。
    • ログインエンドポイントに以下のハードコードされた認証情報を送信します。
      • 電子メールアドレス: {BLOCKED}@credifit.com.br
      • パスワード: R$1milhao
    • Credifitの管理ポータルインターフェースを偽装したWebページを表示します。

      

  • onboarding.{BLOCKED}ti.tec.br:
    • フェッチAPIトラフィックのみを傍受します。