Trojan ngân hàng Chaes cài đặt các tiện ích mở rộng độc hại của Chrome

Helga SmithTháng 1 30, 2022Cập nhật mới nhất: Tháng 3 11, 2022
2 phút đọc

Chiến dịch quy mô lớn của nhân viên ngân hàng Chaes bị phát hiện, trong thời gian đó về 800 Các trang web WordPress đã bị xâm phạm. The Trojan mainly targets Brazilian users and uses five malicious extensions for the Chrome browser in its attacks.

Chaes activity was discovered by Avast experts, who report that a new malware campaign started at the end of 2021. Ban đầu, the malware was discovered back in 2020 by Cybereason analysts, and then (as now) it was aimed at customers of Banco do Brasil, Loja Integrada, Mercado Bitcoin, Mercado Livre and Mercado Pago banks.

Now the researchers say the attack starts when the victim visits one of the hacked sites. There, the user sees a pop-up window asking to install a fake Java Runtime application.

Cuộc tấn công Trojan ngân hàng

The MSI installer for thisappcontains three malicious files (install.js, sched.js, sucesso.js) that prepare the Python environment for the next stage loader. If the user follows the instructions, the malware initiates a complex bunker delivery procedure, which ends with the deployment of several modulesincluding spyware and remote-access module.

Cuộc tấn công Trojan ngân hàng

Chays is characterized by multi-stage delivery, which involves environments such as JScript, Python and NodeJS, as well as binaries written in Delphi, and malicious extensions for Google Chrome. The ultimate goal of Chaes is to steal credentials stored in Chrome, as well as intercept logins and passwords from popular banking in Brazil. the researchers say.

Some intermediate payloads are not only encrypted, but also hidden in commented code inside the HTML pages of the awsvirtual[.]blogspot.com domain. At the final stage of the attack, the JavaScript dropper downloads and installs up to five malicious Chrome extensions on the victim’s system:

  1. OnlineDelphi module used to fingerprint the victim and transfer system information to the hackerscontrol server;
  2. Mtps4 (MultiTela Pascal) is a Delphi-based backdoor, the main purpose of which is to connect to the control server and wait for the response Pascal Script to be executed;
  3. Chrolog (ChromeLog) – steals passwords from Google Chrome, the module is also written in Delphi;
  4. Chronodx (Chrome Noder) is a JavaScript Trojan that, upon detecting the launch of the Chrome browser, immediately closes it and opens its own instance of Chrome containing a malicious module that steals banking information;
  5. Chremows (Chrome WebSocket) is a banking JavaScript Trojan that intercepts keystrokes and mouse clicks in Chrome to steal credentials (for Mercado Livre and Mercado Pago users).
Hiện nay, the Chaes distribution campaign is still active and will continue until all compromised WordPress sites are secured. Avast analysts say that some of the sites that are used to deliver payloads are very popular in Brazil, so the number of infected systems is likely to be very high.

Hãy để tôi nhắc bạn rằng chúng tôi cũng đã viết rằng Banking Trojan QakBot attacked over 17,000 người dùng trên toàn thế giới, và đó cũng là Anubis Android Banker Targets Nearly 400 Người dùng ứng dụng tài chính.

thẻ
Helga SmithTháng 1 30, 2022Cập nhật mới nhất: Tháng 3 11, 2022
2 phút đọc

Helga Smith

Tôi luôn quan tâm đến khoa học máy tính, đặc biệt là bảo mật dữ liệu và chủ đề, được gọi là ngày nay "khoa học dữ liệu", kể từ khi tôi còn ở tuổi thiếu niên. Trước khi vào nhóm Diệt Virus với vai trò Tổng biên tập, Tôi đã làm việc với tư cách là chuyên gia an ninh mạng tại một số công ty, bao gồm một trong những nhà thầu của Amazon. Một trải nghiệm khác: Tôi đã nhận được đang giảng dạy tại các trường đại học Arden và Reading.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Trang web này sử dụng akismet để giảm spam. Tìm hiểu cách xử lý dữ liệu bình luận của bạn.

Nút quay lại đầu trang