Новий банківський троян зламує сайти через розширення для Google Chrome

Новий банківський троян зламує сайти через розширення для Google Chrome

Експерти компанії Avast, що розробляє однойменний антивірус, повідомили про масштабну хакерську кампанію зі злому сайтів на системі WordPress та встановлення на них розширень, які заражають пристрої відвідувачів цих ресурсів за допомогою вірусу Chaes.

Про серію цих атак відомо з кінця 2021 року. Відвідувачам зараженого ресурсу пропонують встановити підроблену програму Java Runtime – це старий метод. Після цього на комп’ютер жертви автоматично завантажується інсталятор з трьома файлами, що створюють на пристрої систему автозапуску вірусу, повідомлень оператору про успішність атаки і контролю мережі і реєстру Windows.

Коли всі первинні процеси завершені, на комп’ютер автоматично встановлюються шкідливі розширення Google Chrome, що маскуються під легальні.

Перелік такий:

  • Online – знімає цифровий відбиток жертви та створює ключ реєстру.
  • Mtps4 – підключається до C2-серверу і чекає на вхідні PascalScript. Також може знімати скріншоти та відображати їх на весь екран, щоб приховати шкідливу активність.
  • Chrolog – краде паролі з Google Chrome.
  • Chronodx – це завантажувач і банківський JS-троян. Працює непомітно і чекає на запуск Chrome.
  • Chremows – краде облікові дані від торгових онлайн-майданчиків.

Джерело