Разработчик антивирусного софта Avast зафиксировал появление нового банковского трояна. Он используется хакерами для взлома веб-ресурсов WordPress. После взлома очередного сайта троян устанавливает на него расширение, которое заражает компьютеры посетителей вирусом Chaes.
Подробности
Хакерские атаки начались еще в конце прошлогоа года. Пользователям, посещающим зараженные ресурсы, предлагается загрузить на устройство апплет Java Runtime. В случае согласия на ПК жертвы устанавливается инсталлятор, в состав которого входят три файла. Они создают на ПК систему для автоматического запуска вируса, уведомляют инициаторов кибератаки о ее успешности и контролируют реестр и сеть программной платформы Windows.
После завершения всех первичных процессов на ПК жертвы загружаются следующие вредоносные расширения для веб-обозревателя Google Chrome, которые маскируются под легальные:
- Mtps4 (Используется для подключения к C2-серверу. Делает скриншоты с целью их последующего отображения на экране для сокрытия вредоносной активности).
- Online (предназначено для создания ключа реестра и снятия digital-отпечатка жертвы).
- Chremows ( похищает учетные данные пользователей, которые используются для авторизации на торговых онлайн-площадках).
- Chronodx (банковский JavaScript-троян и загрузчик).
- Chrolog (предназначено для похищения паролей из браузера Chrome).
Следует иметь в виду, что предложение об установке Jave Runtime считается довольно старым методом взлома ПК жертвы. Соглашаться на него не следует.