Banking Trojan Chaes installerer ondsindede Chrome-udvidelser

Helga Smithjanuar 30, 2022Sidst opdateret: marts 11, 2022
50 1 minuts læsning

Chaes bankers storstilede kampagne blev opdaget, hvorunder ca 800 WordPress-websteder blev kompromitteret. Trojaneren er hovedsageligt rettet mod brasilianske brugere og bruger fem ondsindede udvidelser til Chrome-browseren i sine angreb.

Jage aktivitet blev opdaget ved Avast eksperter, der rapporterer, at en ny malware-kampagne startede i slutningen af 2021. I første omgang, malwaren blev opdaget igen 2020 ved Cyberason analytikere, og så (som nu) det var rettet mod kunder hos Banco do Brasil, Integreret butik, Bitcoin marked, Mercado Livre og Mercado Pago banker.

Nu siger forskerne, at angrebet starter, når offeret besøger en af ​​de hackede sider. Der, brugeren ser et pop op-vindue, der beder om at installere en falsk Java Runtime Ansøgning.

Banking Trojan Chaes

MSI-installationsprogrammet til dette “app” indeholder tre ondsindede filer (install.js, sched.js, success.js) der forbereder Python-miljøet til den næste fase-loader. Hvis brugeren følger instruktionerne, malwaren starter en kompleks bunkerleveringsprocedure, som ender med udrulning af flere moduler – inklusive spyware og fjernadgangsmodul.

Banking Trojan Chaes

Chays er kendetegnet ved levering i flere trin, som involverer miljøer som JScript, Python og NodeJS, samt binære filer skrevet i Delphi, og ondsindede udvidelser til Google Chrome. Det ultimative mål med Chaes er at stjæle legitimationsoplysninger gemt i Chrome, samt opsnappe logins og adgangskoder fra populære banker i Brasilien. siger forskerne.

Nogle mellemliggende nyttelaster er ikke kun krypteret, men også skjult i kommenteret kode inde i HTML-siderne i awsvirtual[.]blogspot.com domæne. I sidste fase af angrebet, JavaScript-dropperen downloader og installerer op til fem ondsindede Chrome-udvidelser på offerets system:

  1. Online – Delphi-modulet bruges til at fingeraftrykke offeret og overføre systemoplysninger til hackerne’ kontrolserver;
  2. Mtps4 (MultiTela Pascal) er en Delphi-baseret bagdør, hvis hovedformål er at oprette forbindelse til kontrolserveren og vente på, at svaret Pascal Script udføres;
  3. chrolog (ChromeLog) – stjæler adgangskoder fra Google Chrome, modulet er også skrevet i Delphi;
  4. Chronodx (Chrome Noder) er en JavaScript-trojaner, der, ved registrering af lanceringen af ​​Chrome-browseren, lukker den straks og åbner sin egen forekomst af Chrome, der indeholder et ondsindet modul, der stjæler bankoplysninger;
  5. Cremet (Chrome WebSocket) er en bank JavaScript-trojaner, der opsnapper tastetryk og museklik i Chrome for at stjæle legitimationsoplysninger (for MercadoLibre- og MercadoPago-brugere).
I øjeblikket, Chaes distributionskampagne er stadig aktiv og vil fortsætte, indtil alle kompromitterede WordPress-websteder er sikret. Avast-analytikere siger, at nogle af de websteder, der bruges til at levere nyttelast, er meget populære i Brasilien, så antallet af inficerede systemer vil sandsynligvis være meget højt.

Lad mig minde dig om, at vi også skrev det Bank Trojan QakBot angrebet over 17,000 brugere verden over, forbundet til internettet uden nogen beskyttelse og krypterer brugerdata for at indsamle en løsesum i bitcoins Anubis Android Banker er næsten målrettet 400 Finansielle app-brugere.

Mærker
Helga Smithjanuar 30, 2022Sidst opdateret: marts 11, 2022
50 1 minuts læsning

Helga Smith

Jeg var altid interesseret i datalogi, især datasikkerhed og temaet, som kaldes i dag "datavidenskab", siden mine tidlige teenagere. Før du kommer ind i Virus Removal-teamet som chefredaktør, Jeg arbejdede som cybersikkerhedsekspert i flere virksomheder, inklusive en af ​​Amazons entreprenører. En anden oplevelse: Jeg har undervisning på universitetene i Arden og Reading.

Efterlad et Svar

Dette websted bruger Akismet at reducere spam. Lær hvordan din kommentar data behandles.

Tilbage til toppen knap