Avast IT 安全研究人員發現,惡意軟體活動破壞了 800 多個 WordPress 網站,傳播名為 Chaes 的特洛伊木馬。該惡意軟體使用受感染的 Google Chrome 擴充功能來清空受害者的銀行帳戶。
顯然,沒有一天不提到新的惡意軟體。儘管法國司法部成為勒索軟體攻擊目標輪到許多巴西銀行的客戶成為新網路攻擊的目標。
正如 Avast IT 安全研究人員指出的那樣,該活動使用名為 Chaes 的惡意軟體。它已經感染了至少 800 個 WordPress 網站,並透過它們繼續傳播。這是專門針對資訊盜竊透過特別複雜的感染鏈。
“Chaes 的特點是多階段交付,使用 JScript、Python 和 NodeJS 等腳本框架,以及用 Delphi 編寫的二進位(ndrl:一種程式語言)和惡意 Google Chrome 擴充功能”,Avast 的研究人員 Anh Ho 和 Igor Morgensten 解釋。 “Chaes 的最終目標是竊取 Chrome 中儲存的憑證並攔截巴西熱門銀行網站的登入資訊。
另請閱讀:Powerpoint 駭客利用微軟軟體傳播惡意軟體
Chaes 惡意軟體劫持 Chrome 來毀掉受害者
Chaes 的工作原理如下:當使用者造訪受感染的網站之一時,就會觸發攻擊序列。出現一個彈出窗口,提示他們安裝假的 JavaRuntime 應用程式。如果目標按照說明操作,惡意安裝程式就會啟動複雜的惡意軟體分發例程導致部署多個模組。這些模組正是這些惡意擴展鉻合金。以下是他們的詳細名稱和角色:
- 線上:一個 Delphi 模組,用於對受害者進行指紋識別並將系統資訊傳輸到命令和控制伺服器
- Mtps4:一個基於Delphi的後門,其主要任務是連接到C2伺服器並等待回應的Pascal腳本的執行
- Chrolog:用 Delphi 編寫的 Google Chrome 密碼竊取程序
- Chremows:Javascript 銀行木馬,記錄 Chrome 上的鍵盤按下和滑鼠點擊,試圖竊取使用者資訊
Avast 表示這項活動仍在進行中,事實上,專家在巴西 CERT 分享了他們的發現,政府監控、警報和響應電腦攻擊的中心。
來源 :駭客新聞
