뱅킹 트로이 목마, 악성 Chrome 확장 프로그램 설치
Chaes banker의 대규모 캠페인이 발견되었습니다., 그 동안 약 800 WordPress 사이트가 손상되었습니다.. 트로이 목마는 주로 브라질 사용자를 대상으로 하며 공격에 Chrome 브라우저에 5개의 악성 확장 프로그램을 사용합니다..
채스 활동 Android 악성코드 Roaming Mantis는 악성코드 및 피싱 공격을 사용하여 독일 및 프랑스의 Android 및 iPhone 사용자를 대상으로 합니다. ~에 의해 Avast 전문가, 새로운 맬웨어 캠페인이 연말에 시작되었다고 보고한 사람은 2021. 처음에는, 맬웨어가 다시 발견되었습니다. 2020 ~에 의해 사이버 시즌 분석가, 그리고 (지금처럼) Banco do Brasil의 고객을 대상으로했습니다., 통합 매장, 비트코인 시장, 메르카도 리브르 및 메르카도 파고 은행.
이제 연구원들은 피해자가 해킹된 사이트 중 하나를 방문할 때 공격이 시작된다고 말합니다.. 거기, 사용자에게 가짜 설치를 묻는 팝업 창이 표시됩니다. 자바 런타임 신청.
이를 위한 MSI 설치 프로그램 “앱” 악성 파일 3개 포함 (install.js, sched.js, 성공.js) 다음 단계 로더를 위한 Python 환경을 준비하는. 사용자가 지시에 따랐을 경우, 멀웨어는 복잡한 벙커 전달 절차를 시작합니다., 여러 모듈의 배포로 끝납니다. – 스파이웨어 포함 및 원격 액세스 모듈.
일부 중간 페이로드는 암호화될 뿐만 아니라, awsvirtual의 HTML 페이지 내부에 주석 처리된 코드에도 숨겨져 있습니다.[.]blogspot.com 도메인. 공격의 마지막 단계에서, JavaScript 드로퍼는 피해자의 시스템에 최대 5개의 악성 Chrome 확장 프로그램을 다운로드하고 설치합니다.:
- 온라인 – 피해자의 지문을 채취하고 시스템 정보를 해커에게 전송하는 데 사용되는 델파이 모듈’ 제어 서버;
- Mtps4 (멀티텔라 파스칼) 델파이 기반 백도어, 주요 목적은 제어 서버에 연결하고 응답 Pascal Script가 실행될 때까지 기다리는 것입니다.;
- 크로로그 (크롬로그) – Chrome에서 비밀번호를 훔칩니다., 모듈은 델파이로도 작성되었습니다.;
- 크로노덱스 (크롬 노드) 는 JavaScript 트로이 목마입니다., Chrome 브라우저 실행 감지 시, 즉시 닫고 은행 정보를 훔치는 악성 모듈이 포함된 자체 Chrome 인스턴스를 엽니다.;
- Chremows (크롬 웹소켓) 자격 증명을 훔치기 위해 Chrome에서 키 입력과 마우스 클릭을 가로채는 뱅킹 JavaScript 트로이 목마입니다. (Mercado Livre 및 Mercado Pago 사용자용).
우리도 그렇게 썼다는 것을 상기시켜 드리겠습니다. 뱅킹 트로이 목마 칵봇 공격 17,000 전 세계 사용자, 그리고 그것도 아누비스 Android Banker는 거의 목표 400 금융 앱 사용자.
