Avast IT 安全研究人员发现,恶意软件活动破坏了 800 多个 WordPress 网站,传播名为 Chaes 的特洛伊木马。该恶意软件使用受感染的 Google Chrome 扩展程序来清空受害者的银行帐户。
显然,没有一天不提到新的恶意软件。尽管法国司法部成为勒索软件攻击目标轮到许多巴西银行的客户成为新网络攻击的目标。
正如 Avast IT 安全研究人员指出的那样,该活动使用名为 Chaes 的恶意软件。它已经感染了至少 800 个 WordPress 网站,并通过它们继续传播。这是专门针对信息盗窃通过特别复杂的感染链。
“Chaes 的特点是多阶段交付,使用 JScript、Python 和 NodeJS 等脚本框架,以及用 Delphi 编写的二进制文件(ndrl:一种编程语言)和恶意 Google Chrome 扩展”,Avast 的研究人员 Anh Ho 和 Igor Morgensten 解释道。 “Chaes 的最终目标是窃取 Chrome 中存储的凭据并拦截巴西热门银行网站的登录信息。
另请阅读:Powerpoint 黑客利用微软软件传播恶意软件
Chaes 恶意软件劫持 Chrome 来毁掉受害者
Chaes 的工作原理如下:当用户访问受感染的网站之一时,就会触发攻击序列。出现一个弹出窗口,提示他们安装假的 JavaRuntime 应用程序。如果目标按照说明操作,恶意安装程序就会启动复杂的恶意软件分发例程导致部署多个模块。这些模块正是这些恶意扩展铬合金。以下是他们的详细名称和角色:
- 在线:一个 Delphi 模块,用于对受害者进行指纹识别并将系统信息传输到命令和控制服务器
- Mtps4:一个基于Delphi的后门,其主要任务是连接到C2服务器并等待响应的Pascal脚本的执行
- Chrolog:用 Delphi 编写的 Google Chrome 密码窃取程序
- Chremows:Javascript 银行木马,记录 Chrome 上的键盘按下和鼠标点击,试图窃取用户信息
Avast 表示这项活动仍在进行中,事实上,专家在巴西 CERT 分享了他们的发现,政府监控、警报和响应计算机攻击的中心。
来源 :黑客新闻
