Banking Trojan Chaes installeert kwaadaardige Chrome-extensies

De grootschalige campagne van Chaes Banker werd ontdekt, gedurende welke ongeveer 800 WordPress-sites zijn gehackt. De Trojan richt zich vooral op Braziliaanse gebruikers en gebruikt bij zijn aanvallen vijf kwaadaardige extensies voor de Chrome-browser.

Achtervolging activiteit was ontdekt door Avast experts, die melden dat er eind vorig jaar een nieuwe malwarecampagne is gestart 2021. aanvankelijk, de malware werd weer ontdekt 2020 door Cyberseizoen analisten, en dan (zoals nu) het was gericht op klanten van Banco do Brasil, Geïntegreerde winkel, Bitcoin-markt, Banken Mercado Livre en Mercado Pago.

Nu zeggen de onderzoekers dat de aanval begint wanneer het slachtoffer een van de gehackte sites bezoekt. Daar, de gebruiker ziet een pop-upvenster waarin wordt gevraagd een nep te installeren Java-runtime sollicitatie.

Het MSI-installatieprogramma hiervoor “app” bevat drie kwaadaardige bestanden (install.js, schema.js, succes.js) die de Python-omgeving voorbereiden op de volgende fase-loader. Als de gebruiker de instructies volgt, de malware initieert een complexe bunkerleveringsprocedure, die eindigt met de inzet van verschillende modules – inclusief spyware en module voor externe toegang.

Sommige tussenliggende payloads zijn niet alleen gecodeerd, maar ook verborgen in commentaarcode in de HTML-pagina's van de awsvirtual[.]blogspot.com-domein. In de laatste fase van de aanval, de JavaScript-dropper downloadt en installeert maximaal vijf kwaadaardige Chrome-extensies op het systeem van het slachtoffer:

1. Online – Delphi-module die wordt gebruikt om vingerafdrukken van het slachtoffer te maken en systeeminformatie over te dragen aan de hackers’ controleserver;
2. Mtps4 (MultiTela Pascal) is een op Delphi gebaseerde achterdeur, Het belangrijkste doel hiervan is om verbinding te maken met de controleserver en te wachten tot het antwoord van Pascal Script wordt uitgevoerd;
3. Chrolog (ChromeLog) – steelt wachtwoorden van Google Chrome, de module is ook in Delphi geschreven;
4. Chronodx (Chroom Noder) is een JavaScript-trojan die, bij het detecteren van de lancering van de Chrome-browser, sluit het onmiddellijk en opent zijn eigen exemplaar van Chrome met daarin een kwaadaardige module die bankgegevens steelt;
5. Chremows (Chrome WebSocket) is een JavaScript-trojan voor banken die toetsaanslagen en muisklikken in Chrome onderschept om inloggegevens te stelen (voor Mercado Livre- en Mercado Pago-gebruikers).

Laat me je eraan herinneren dat we dat ook schreven Bank-trojan QakBot voorbij aangevallen 17,000 gebruikers wereldwijd, aan de auteurs van de Anubis Android Banker streeft naar bijna 400 Gebruikers van financiële apps.