Avast сообщил о появлении банковского трояна, взламывающего сайты через расширения Chrome

Разработчик антивирусного софта Avast зафиксировал появление нового банковского трояна. Он используется хакерами для взлома веб-ресурсов WordPress. После взлома очередного сайта троян устанавливает на него расширение, которое заражает компьютеры посетителей вирусом Chaes.

Подробности

Хакерские атаки начались еще в конце прошлогоа года. Пользователям, посещающим зараженные ресурсы, предлагается загрузить на устройство апплет Java Runtime. В случае согласия на ПК жертвы устанавливается инсталлятор, в состав которого входят три файла. Они создают на ПК систему для автоматического запуска вируса, уведомляют инициаторов кибератаки о ее успешности и контролируют реестр и сеть программной платформы Windows.

После завершения всех первичных процессов на ПК жертвы загружаются следующие вредоносные расширения для веб-обозревателя Google Chrome, которые маскируются под легальные:

1. Mtps4 (Используется для подключения к C2-серверу. Делает скриншоты с целью их последующего отображения на экране для сокрытия вредоносной активности).
2. Online (предназначено для создания ключа реестра и снятия digital-отпечатка жертвы).
3. Chremows ( похищает учетные данные пользователей, которые используются для авторизации на торговых онлайн-площадках).
4. Chronodx (банковский JavaScript-троян и загрузчик).
5. Chrolog (предназначено для похищения паролей из браузера Chrome).

Следует иметь в виду, что предложение об установке Jave Runtime считается довольно старым методом взлома ПК жертвы. Соглашаться на него не следует.