Banking Trojan Chaes setur upp skaðlegar Chrome viðbætur

Helga Smithjanúar 30, 2022Síðast uppfært: mars 11, 2022
2 mínútur lesnar

Uppgötvuð var umfangsmikil herferð Chaes bankastjóra, þar sem um 800 WordPress síður voru í hættu. Trójuverjinn beinist aðallega að brasilískum notendum og notar fimm skaðlegar viðbætur fyrir Chrome vafrann í árásum sínum.

Chase virkni var uppgötvað af Avast sérfræðingar, sem tilkynna að ný spilliforrit hafi hafist í lok kl 2021. Upphaflega, spilliforritið uppgötvaðist aftur inn 2020 af Cyberason sérfræðingar, og svo (eins og núna) það var ætlað viðskiptavinum Banco do Brasil, Samþætt verslun, Bitcoin markaður, Mercado Livre og Mercado Pago bankarnir.

Nú segja rannsakendur að árásin hefjist þegar fórnarlambið heimsækir eina af tölvuþrjótunum. Þarna, notandinn sér sprettiglugga sem biður um að setja upp falsa Java Runtime umsókn.

Bankastarfsemi Trojan Chaes

MSI uppsetningarforritið fyrir þetta “app” inniheldur þrjár skaðlegar skrár (install.js, sched.js, árangur.js) sem undirbýr Python umhverfið fyrir næsta þrepahleðslutæki. Ef notandinn fylgir leiðbeiningunum, spilliforritið kemur af stað flóknu ferli við afhendingu glompu, sem endar með uppsetningu nokkurra eininga – þar á meðal njósnaforrit og fjaraðgangseining.

Bankastarfsemi Trojan Chaes

Chays einkennist af fjölþrepa afhendingu, sem felur í sér umhverfi eins og JScript, Python og NodeJS, sem og tvíþættir skrifaðir í Delphi, og skaðlegar viðbætur fyrir Google Króm. Endanlegt markmið Chaes er að stela skilríkjum sem eru geymd í Chrome, auk þess að stöðva innskráningar og lykilorð frá vinsælum bankaþjónustu í Brasilíu. segja vísindamennirnir.

Sumir millifarmar eru ekki aðeins dulkóðaðir, en einnig falinn í ummælakóða inni á HTML síðum awsvirtual[.]blogspot.com lén. Á lokastigi árásarinnar, JavaScript droparinn hleður niður og setur upp allt að fimm skaðlegar Chrome viðbætur á kerfi fórnarlambsins:

  1. Á netinu – Delphi eining notuð til að fingraföra fórnarlambið og flytja kerfisupplýsingar til tölvuþrjóta’ stjórna miðlara;
  2. Mtps4 (MultiTela Pascal) er bakdyr sem byggir á Delphi, Megintilgangur þess er að tengjast stjórnunarþjóninum og bíða eftir að svarið Pascal Script verði keyrt;
  3. Chrolog (ChromeLog) – stelur lykilorðum frá Google Chrome, einingin er einnig skrifuð í Delphi;
  4. Chronodx (Chrome Noder) er JavaScript Trojan sem, þegar Chrome vafranum er ræst, lokar því strax og opnar eigið tilvik af Chrome sem inniheldur skaðlega einingu sem stelur bankaupplýsingum;
  5. Chremows (Chrome WebSocket) er JavaScript tróverji í bankastarfsemi sem stöðvar áslátt og músarsmelli í Chrome til að stela skilríkjum (fyrir notendur Mercado Livre og Mercado Pago).
Eins og er, Chaes dreifingarherferðin er enn virk og mun halda áfram þar til allar WordPress síður sem hafa verið í hættu eru tryggðar. Sérfræðingar Avast segja að sumar síðurnar sem eru notaðar til að afhenda hleðslu séu mjög vinsælar í Brasilíu, þannig að fjöldi sýktra kerfa er líklega mjög mikill.

Ég minni á að við skrifuðum það líka Bankastarfsemi Tróverji QakBot ráðist yfir 17,000 notendur um allan heim, og líka það Anubis Android bankastjóri miðar næstum 400 Notendur fjármálaapps.

Merki
Helga Smithjanúar 30, 2022Síðast uppfært: mars 11, 2022
2 mínútur lesnar

Helga Smith

Ég hafði alltaf áhuga á tölvunarfræði, sérstaklega gagnaöryggi og þemað, sem heitir nú á dögum "gagnafræði", síðan á unglingsárum mínum. Áður en þú kemur inn í teymið til að fjarlægja veirur sem aðalritstjóri, Ég starfaði sem sérfræðingur í netöryggi í nokkrum fyrirtækjum, including one of Amazon's contractors. Önnur upplifun: Ég hef kennt í Arden og Reading háskólunum.

Skildu eftir skilaboð

Your email address will not be published. Required fields are marked *

Þessi síða notar Akismet til að draga úr ruslpósti. Lærðu hvernig ummælagögnin þín eru unnin.

Aftur efst á hnappinn