Μια μεγάλης κλίμακας καμπάνια που περιλαμβάνει πάνω από 800 παραβιασμένους ιστότοπους WordPress, διαδίδει τραπεζικά trojans που στοχεύουν τα διαπιστευτήρια Βραζιλιάνων χρηστών e-banking. Το trojan που χρησιμοποιείται ονομάζεται «Chaes» και σύμφωνα με ερευνητές από την Avast, εξαπλώνεται ενεργά από τα τέλη του 2021.
Δείτε επίσης: Banking malware: Τα πιο επικίνδυνα trojans που έχουν υπάρξει!
Παρόλο που η εταιρεία ασφαλείας ειδοποίησε τη βραζιλιάνικη CERT, η κακόβουλη καμπάνια συνεχίζεται, με εκατοντάδες ιστότοπους να εξακολουθούν να είναι σε κίνδυνο.
Όταν το θύμα επισκέπτεται έναν από τους παραβιασμένους ιστότοπους, εμφανίζεται ένα αναδυόμενο παράθυρο που του ζητά να εγκαταστήσει μια ψεύτικη εφαρμογή Java Runtime.
Το πρόγραμμα εγκατάστασης MSI περιέχει τρία κακόβουλα αρχεία JavaScript (install.js, sched.js, sucesso.js) που προετοιμάζουν το περιβάλλον Python για το πρόγραμμα φόρτωσης επόμενου σταδίου.
Το σενάριο sched.js προσθέτει επιμονή δημιουργώντας μια προγραμματισμένη εργασία και έναν σύνδεσμο εκκίνησης και το sucesso.js είναι υπεύθυνο για την αναφορά της κατάστασης στο C2.
Εν τω μεταξύ, το σενάριο install.js εκτελεί τις ακόλουθες εργασίες:
Δείτε ακόμα: Η ευπάθεια Log4j Log4Shell χρησιμοποιείται για την εγκατάσταση του Dridex banking trojan
Ελέγχει για σύνδεση στο Διαδίκτυο (χρησιμοποιώντας το google.com)
Δημιουργεί το φάκελο %APPDATA%\\\\extensions
Κάνει λήψη αρχείων που προστατεύονται με κωδικό πρόσβασης, όπως τα python32.rar/python64.rar και unrar.exe σε αυτόν τον φάκελο επεκτάσεων
Γράφει τη διαδρομή του φακέλου επεκτάσεων που δημιουργήθηκαν πρόσφατα στο HKEY_CURRENT_USER\\Software\\Python\\Config\\Path
Εκτελεί κάποια βασικά προφίλ συστήματος
Εκτελεί την εντολή unrar.exe με τον κωδικό πρόσβασης που καθορίζεται ως όρισμα για την αποσυσκευασία python32.rar/python64.rar
Συνδέεται στο C2 και κατεβάζει σενάρια 32bit και 64bit __init__.py μαζί με δύο κρυπτογραφημένα ωφέλιμα φορτία. Κάθε ωφέλιμο φορτίο έχει ένα ψευδοτυχαίο όνομα.
Δείτε επίσης: 300.000 χρήστες Android έχουν κατεβάσει αυτά τα banking trojan malware apps
Η αλυσίδα φόρτωσης Python ξεδιπλώνεται στη μνήμη και περιλαμβάνει τη φόρτωση πολλαπλών σεναρίων, κωδίκων shell και Delphi DLL μέχρι να είναι όλα στη θέση τους για την εκτέλεση του τελικού ωφέλιμου φορτίου σε μια διαδικασία Python.
Το τελικό στάδιο αναλαμβάνεται από το install.js, το οποίο ανακτά τις επεκτάσεις του Chrome και τις εγκαθιστά στο σύστημα του θύματος. Τέλος, όλες οι επεκτάσεις ξεκινούν με τα κατάλληλα ορίσματα.
Η Avast λέει ότι έχει δει πέντε διαφορετικές κακόβουλες επεκτάσεις προγράμματος περιήγησης Chrome εγκατεστημένες στις συσκευές του θύματος, όπως:
- Online
- Mtps4
- Chrolog
- Chronodx
- Chremows
