Qrator Labs yeni veri madenciliği botnet keşfetti

ThreatFabric uzmanları Google Play Store'da yeni bir Xenomorph bankacılık Truva atı keşfetti, ThreatFabric uzmanları Google Play Store'da yeni bir Xenomorph bankacılık Truva atı keşfetti 800 ThreatFabric uzmanları Google Play Store'da yeni bir Xenomorph bankacılık Truva atı keşfetti. Truva atı esas olarak Brezilyalı kullanıcıları hedef alıyor ve saldırılarında Chrome tarayıcısı için beş kötü amaçlı uzantı kullanıyor..

Takip etmek aktivite keşfedildi tarafından dur uzmanlar, sonunda yeni bir kötü amaçlı yazılım kampanyasının başladığını bildiren 2021. İlk olarak, kötü amaçlı yazılım tekrar keşfedildi 2020 tarafından siber mevsim analistler, ve daha sonra (şu an) Banco do Brasil müşterilerine yönelikti, Entegre Mağaza, Bitcoin Piyasası, Mercado Livre ve Mercado Pago bankaları.

Şimdi araştırmacılar, saldırının kurbanın saldırıya uğramış sitelerden birini ziyaret etmesiyle başladığını söylüyor.. Orası, kullanıcı, sahte yüklemeyi isteyen bir açılır pencere görür Java Çalışma Zamanı uygulama.

Bunun için MSI yükleyicisi “Uygulamanın” üç kötü amaçlı dosya içeriyor (install.js, sched.js, başarı.js) Python ortamını bir sonraki aşama yükleyici için hazırlayan. Kullanıcı talimatları takip ederse, kötü amaçlı yazılım karmaşık bir bunker teslimat prosedürü başlatır, birkaç modülün konuşlandırılmasıyla sona erer – casus yazılım dahil ve uzaktan erişim modülü.

Bazı ara yükler yalnızca şifrelenmez, ama aynı zamanda awsvirtual'ın HTML sayfalarının içindeki yorumlanmış kodda gizlidir.[.]blogspot.com alan adı. Saldırının son aşamasında, JavaScript dropper, kurbanın sistemine beş adede kadar kötü amaçlı Chrome uzantısı indirir ve yükler:

1. Çevrimiçi – Kurbanın parmak izini almak ve sistem bilgilerini bilgisayar korsanlarına aktarmak için kullanılan Delphi modülü’ kontrol sunucusu;
2. Mtps4 (MultiTela Pascal) Delphi tabanlı bir arka kapıdır, asıl amacı, kontrol sunucusuna bağlanmak ve Pascal Script yanıtının yürütülmesini beklemektir.;
3. kronolog (ChromeLog'u) – Google Chrome'dan şifreleri çalar, modül ayrıca Delphi'de yazılmıştır;
4. kronodx (krom düğümü) bir JavaScript Truva atıdır., Chrome tarayıcısının başlatıldığını tespit ettikten sonra, hemen kapatır ve bankacılık bilgilerini çalan kötü amaçlı bir modül içeren kendi Chrome örneğini açar;
5. kremsi (Chrome WebSocket) kimlik bilgilerini çalmak için Chrome'da tuş vuruşlarını ve fare tıklamalarını engelleyen bir bankacılık JavaScript Truva atıdır (Mercado Livre ve Mercado Pago kullanıcıları için).

şunu da yazdığımızı hatırlatalım Bankacılık Truva Atı QakBot saldırıya uğradı 17,000 dünya çapındaki kullanıcılar, kötü amaçlı yazılım, şirket onlara ödeme yaparsa, yararlandıkları sıfırıncı gün güvenlik açığının tüm ayrıntılarını ifşa etmeye hazır olduklarını yazıyor anubis Android Banker Hedefleri Neredeyse 400 Finansal Uygulama Kullanıcıları.