Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Банковский троян Chaes взламывает Google Chrome вредоносными расширениями (http://txgate.io:443/showthread.php?t=13173)

Artifact 04-06-2025 07:31 AM

Крупная кампания, в которой участвуют более 800 взломанных WordPress-сайтов, распространяет банковский троян, ворующий учётные данные клиентов кредитных организаций. Вредонос получил имя Chaes, о его атаках рассказали специалисты антивирусной компании Avast.
По словам исследователей, операторы трояна распространяют его с конца 2021 года. Взламывая сотни веб-ресурсов, злоумышленники добавляют на них вредоносные скрипты, приводящие к загрузке Chaes на устройства посетителей.
В этой кампании используется уже избитый приём — просьба установить приложение Java Runtime, которое на деле является фейком. К сожалению, многие пользователя, видимо, до сих пор клюют на такие уловки, иначе объяснить заражение невозможно.
https://www.anti-malware.ru/files/java.jpeg
На компьютер потенциальной жертвы загружается MSI-установщик, который содержит три JavaScript-файла: install.js, sched.js и sucesso.js. Эти «три брата» подготавливают среду Python для дальнейшей компрометации.
Скрипт с именем sched.js создаёт задачу в «Планировщике заданий» и объект автозапуска, таким образом обеспечивая вредоносу плотное закрепление в системе. Файл sucesso.js, как можно понять из его имени, отвечает за передачу командному серверу (C2) информации об успешной установке или о сбое.
А вот скрипт install.js гораздо интереснее своих собратьев, поскольку он может выполнять следующие действия: <ul><li>Проверять интернет-соединение (используя google.com).</li>
</ul><ul><li>Создавать директорию %APPDATA%\\\\extensions.</li>
</ul><ul><li>Загружать защищённые паролями архивы python32.rar, python64.rar и unrar.exe в упомянутую выше директорию.</li>
</ul><ul><li>Записывать путь этой папки в HKEY_CURRENT_USER\\Software\\Python\\Config\\Path. </li>
</ul><ul><li>Собирать информацию о системе.</li>
</ul><ul><li>Выполнять команду unrar.exe с аргументами для распаковки python32.rar и python64.rar.</li>
</ul><ul><li>Подключаться к командному серверу и загружать оттуда зашифрованные пейлоады.</li>
</ul>https://www.anti-malware.ru/files/infection.png
Заключительным этапом вредонос устанавливает вредоносные Chrome-расширения. В отчёте Avast перечислены эти аддоны: <ul><li>Online – снимает цифровой отпечаток жертвы и создаёт ключ реестра.</li>
</ul><ul><li>Mtps4 – подключается к C2-серверу и ждёт входящих PascalScript. Также может снимать скриншоты и отображать их во весь экран, чтобы скрыть вредоносную активность.</li>
</ul><ul><li>Chrolog – крадёт пароли из Google Chrome.</li>
</ul><ul><li>Chronodx – представляет собой загрузчик и банковский JS-троян. Работает незаметно и ждёт запуска Chrome.</li>
</ul><ul><li>Chremows – крадёт учётные данные от торговых онлайн-площадок.</li>
</ul>


All times are GMT. The time now is 12:59 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.