Qrator Labs odkrył nowy botnet do eksploracji danych

Złośliwe oprogramowanie na Androida Roaming Mantis atakuje użytkowników Androida i iPhone'a w Niemczech i Francji za pomocą złośliwego oprogramowania, Złośliwe oprogramowanie na Androida Roaming Mantis atakuje użytkowników Androida i iPhone'a w Niemczech i Francji za pomocą złośliwego oprogramowania 800 Złośliwe oprogramowanie na Androida Roaming Mantis atakuje użytkowników Androida i iPhone'a w Niemczech i Francji za pomocą złośliwego oprogramowania. The Trojan mainly targets Brazilian users and uses five malicious extensions for the Chrome browser in its attacks.

Pościg activity został odkryty za pomocą Avast eksperci, who report that a new malware campaign started at the end of 2021. Początkowo, the malware was discovered back in 2020 za pomocą Cybereason analitycy, and then (as now) it was aimed at customers of Banco do Brasil, Loja Integrada, Mercado Bitcoin, Mercado Livre and Mercado Pago banks.

Now the researchers say the attack starts when the victim visits one of the hacked sites. There, the user sees a pop-up window asking to install a fake Java Runtime podanie.

The MSI installer for this “app” contains three malicious files (install.js, sched.js, sucesso.js) that prepare the Python environment for the next stage loader. If the user follows the instructions, the malware initiates a complex bunker delivery procedure, which ends with the deployment of several modules – including spyware and remote-access module.

Some intermediate payloads are not only encrypted, but also hidden in commented code inside the HTML pages of the awsvirtual[.]blogspot.com domain. At the final stage of the attack, the JavaScript dropper downloads and installs up to five malicious Chrome extensions on the victim’s system:

1. Online – Delphi module used to fingerprint the victim and transfer system information to the hackers’ control server;
2. Mtps4 (MultiTela Pascal) is a Delphi-based backdoor, the main purpose of which is to connect to the control server and wait for the response Pascal Script to be executed;
3. Chrolog (ChromeLog) – steals passwords from Google Chrome, the module is also written in Delphi;
4. Chronodx (Chrome Noder) is a JavaScript Trojan that, upon detecting the launch of the Chrome browser, immediately closes it and opens its own instance of Chrome containing a malicious module that steals banking information;
5. Chremows (Chrome WebSocket) is a banking JavaScript Trojan that intercepts keystrokes and mouse clicks in Chrome to steal credentials (for Mercado Livre and Mercado Pago users).

Przypomnę, że my też to napisaliśmy zawartość takiego okna jest pobierana ze zdalnego serwera i umieszczana w WebView, który imituje wygląd docelowego programu, aby oszukać ofiarę QakBot attacked over 17,000 użytkownicy na całym świecie, a także, że Anubis Android Banker celuje prawie 400 Użytkownicy aplikacji finansowych.