Bančni trojanec Chaes namesti zlonamerne razširitve za Chrome

Helga Smithjanuar 30, 2022Zadnja posodobitev: marec 11, 2022
2 minute branje

Odkrita je bila obsežna akcija bankirja Chaesa, med katerim približno 800 Spletna mesta WordPress so bila ogrožena. Trojanec cilja predvsem na brazilske uporabnike in v svojih napadih uporablja pet zlonamernih razširitev za brskalnik Chrome.

lov dejavnost je bil odkrit avtor Avast strokovnjaki, ki poročajo, da se je nova kampanja zlonamerne programske opreme začela konec 2021. Sprva, je bila zlonamerna programska oprema odkrita nazaj v 2020 avtor Cybereason analitiki, in potem (kot zdaj) namenjen je bil strankam Banco do Brasil, Integrirana trgovina, Bitcoin trg, Banki Mercado Livre in Mercado Pago.

Zdaj raziskovalci pravijo, da se napad začne, ko žrtev obišče eno od vdrenih spletnih mest. tam, uporabnik vidi pojavno okno s prošnjo za namestitev ponaredka Java Runtime aplikacija.

Bančni trojanski Chaes

Namestitveni program MSI za to “aplikacija” vsebuje tri zlonamerne datoteke (install.js, sched.js, uspeh.js) ki pripravijo okolje Python za nalagalnik naslednje stopnje. Če uporabnik sledi navodilom, zlonamerna programska oprema sproži zapleten postopek dostave bunkerja, ki se konča z uvedbo več modulov – vključno z vohunsko programsko opremo in modul za oddaljeni dostop.

Bančni trojanski Chaes

Za Chays je značilna večstopenjska dostava, ki vključuje okolja, kot je JScript, Python in NodeJS, kot tudi binarne datoteke, napisane v Delphiju, in zlonamerne razširitve za Google Chrome. Končni cilj Chaesa je ukrasti poverilnice, shranjene v Chromu, kot tudi prestrezanje prijav in gesel iz priljubljenega bančništva v Braziliji. pravijo raziskovalci.

Nekateri vmesni tovori niso le šifrirani, ampak tudi skrit v komentirani kodi znotraj strani HTML awsvirtuala[.]domena blogspot.com. V zadnji fazi napada, JavaScript dropper prenese in namesti do pet zlonamernih razširitev za Chrome v sistem žrtve:

  1. Na spletu – Modul Delphi, ki se uporablja za prstni odtis žrtve in prenos informacij o sistemu hekerjem’ nadzorni strežnik;
  2. Mtps4 (MultiTela Pascal) je backdoor, ki temelji na Delphiju, katerega glavni namen je povezava z nadzornim strežnikom in čakanje na izvedbo odgovora Pascal Script;
  3. Chrolog (ChromeLog) – krade gesla iz brskalnika Google Chrome, tudi modul je napisan v Delphiju;
  4. Chronodx (Chrome Noder) je JavaScript trojanec, ki, ob zaznavi zagona brskalnika Chrome, ga takoj zapre in odpre svoj primerek Chroma, ki vsebuje zlonamerni modul, ki krade bančne podatke;
  5. Chremows (Chrome WebSocket) je bančni JavaScript trojanec, ki prestreza pritiske tipk in klike miške v Chromu ter ukrade poverilnice (za uporabnike Mercado Livre in Mercado Pago).
Trenutno, distribucijska kampanja Chaes je še vedno aktivna in se bo nadaljevala, dokler ne bodo zavarovana vsa ogrožena spletna mesta WordPress. Analitiki Avast pravijo, da so nekatera spletna mesta, ki se uporabljajo za dostavo tovora, zelo priljubljena v Braziliji, zato bo število okuženih sistemov verjetno zelo veliko.

Naj vas spomnim, da smo tudi to pisali bančni trojanec QakBot napadel čez 17,000 uporabnikov po vsem svetu, in tudi to Anubis Android Banker skoraj cilja 400 Uporabniki finančne aplikacije.

Oznake
Helga Smithjanuar 30, 2022Zadnja posodobitev: marec 11, 2022
2 minute branje

Helga Smith

Vedno me je zanimalo računalništvo, zlasti varnost podatkov in tema, ki se dandanes imenuje "znanost o podatkih", že od zgodnjih najstniških let. Pred prihodom v ekipo za odstranjevanje virusov kot glavni urednik, Delal sem kot strokovnjak za kibernetsko varnost v več podjetjih, including one of Amazon's contractors. Še ena izkušnja: Poučujem na univerzah Arden in Reading.

Pustite odgovor

Your email address will not be published. Required fields are marked *

To spletno mesto uporablja Akismet za zmanjšanje neželene pošte. Preberite, kako se obdelujejo vaši komentarji.

Gumb Nazaj na vrh