बैंकिंग ट्रोजन चेज़ दुर्भावनापूर्ण क्रोम एक्सटेंशन इंस्टॉल करता है

चेस बैंकर के बड़े पैमाने के अभियान की खोज की गई, जिसके दौरान के बारे में 800 वर्डप्रेस साइटों से समझौता किया गया. ट्रोजन मुख्य रूप से ब्राज़ीलियाई उपयोगकर्ताओं को लक्षित करता है और अपने हमलों में क्रोम ब्राउज़र के लिए पांच दुर्भावनापूर्ण एक्सटेंशन का उपयोग करता है.

पीछा करना गतिविधि ढूंढा था द्वारा अवास्ट विशेषज्ञों, जो रिपोर्ट करते हैं कि एक नया मैलवेयर अभियान अंत में शुरू हुआ 2021. शुरू में, मैलवेयर वापस खोजा गया था 2020 द्वारा साइबरइज़न विश्लेषकों, और तब (अब के रूप में) इसका लक्ष्य बैंको डो ब्रासील के ग्राहक थे, इंटीग्रेटेड स्टोर, बिटकॉइन बाज़ार, मर्काडो लिवरे और मर्काडो पागो बैंक.

अब शोधकर्ताओं का कहना है कि हमला तब शुरू होता है जब पीड़ित हैक की गई साइटों में से किसी एक पर जाता है. वहाँ, उपयोगकर्ता को एक पॉप-अप विंडो दिखाई देती है जिसमें नकली इंस्टॉल करने के लिए कहा जाता है जावा रनटाइम आवेदन.

इसके लिए एमएसआई इंस्टॉलर “अनुप्रयोग” इसमें तीन दुर्भावनापूर्ण फ़ाइलें हैं (इंस्टॉल.जे.एस, शेड्यूल.जे.एस, सफलता.जे.एस) जो अगले चरण लोडर के लिए पायथन वातावरण तैयार करता है. यदि उपयोगकर्ता निर्देशों का पालन करता है, मैलवेयर एक जटिल बंकर डिलीवरी प्रक्रिया शुरू करता है, जो कई मॉड्यूल की तैनाती के साथ समाप्त होता है – स्पाइवेयर सहित और रिमोट-एक्सेस मॉड्यूल.

कुछ मध्यवर्ती पेलोड न केवल एन्क्रिप्टेड हैं, लेकिन यह awsvirtual के HTML पृष्ठों के अंदर टिप्पणी किए गए कोड में भी छिपा हुआ है[.]blogspot.com डोमेन. हमले के अंतिम चरण में, जावास्क्रिप्ट ड्रॉपर पीड़ित के सिस्टम पर पांच दुर्भावनापूर्ण क्रोम एक्सटेंशन डाउनलोड और इंस्टॉल करता है:

1. ऑनलाइन – डेल्फ़ी मॉड्यूल का उपयोग पीड़ित को फिंगरप्रिंट करने और सिस्टम की जानकारी हैकर्स को स्थानांतरित करने के लिए किया जाता है’ नियंत्रण सर्वर;
2. एमटीपीएस4 (मल्टीटेला पास्कल) एक डेल्फ़ी-आधारित पिछला दरवाज़ा है, जिसका मुख्य उद्देश्य नियंत्रण सर्वर से जुड़ना और प्रतिक्रिया पास्कल स्क्रिप्ट के निष्पादित होने की प्रतीक्षा करना है;
3. क्रोलोग (क्रोमलॉग) – Google Chrome से पासवर्ड चुराता है, मॉड्यूल डेल्फ़ी में भी लिखा गया है;
4. क्रोनोडेक्स (क्रोम नोडर) यह एक जावास्क्रिप्ट ट्रोजन है, क्रोम ब्राउज़र के लॉन्च का पता चलने पर, इसे तुरंत बंद कर देता है और क्रोम का अपना इंस्टेंस खोलता है जिसमें एक दुर्भावनापूर्ण मॉड्यूल होता है जो बैंकिंग जानकारी चुराता है;
5. Chremows (क्रोम वेबसॉकेट) एक बैंकिंग जावास्क्रिप्ट ट्रोजन है जो क्रेडेंशियल चुराने के लिए क्रोम में कीस्ट्रोक्स और माउस क्लिक को रोकता है (मर्काडो लिवरे और मर्काडो पागो उपयोगकर्ताओं के लिए).

मैं आपको याद दिला दूं कि हमने वह भी लिखा था बैंकिंग ट्रोजन QakBot पर हमला किया 17,000 दुनिया भर में उपयोगकर्ता, और वह भी Anubis एंड्रॉइड बैंकर का लक्ष्य लगभग 400 वित्तीय ऐप उपयोगकर्ता.