Extensões maliciosas do Chrome espalham o trojan bancário Chaes

Steam no Chrome OS disponível em Alpha para alguns modelos de Chromebooks
Steam no Chrome OS disponível em Alpha para alguns modelos de Chromebooks

A rede está cada vez mais insegura, quando o assunto é agente malicioso. Agora, por exemplo, uma campanha envolvendo mais de 800 sites WordPress comprometidos está espalhando trojans bancários que visam as credenciais de usuários brasileiros de e-banking. O trojan usado nesta campanha é chamado de Chaes e, de acordo com pesquisadores da Avast, está se espalhando ativamente desde o final de 2021.

Apesar de a empresa de segurança ter notificado o CERT brasileiro, a campanha está em andamento, com centenas de sites ainda comprometidos com scripts maliciosos que espalham o malware.

Ataque do Chaes

O malware conta com uma cadeia de ataque que atua da seguinte forma: quando a vítima visita um dos sites comprometidos, ela recebe um pop-up que solicita a instalação de um aplicativo Java Runtime falso.

Imagem: Reprodução | BleepingComputer

O instalador MSI contém três arquivos JavaScript maliciosos (install.js, sched.js, sucesso.js) que preparam o ambiente Python para o próximo carregador de estágio. O script sched.js adiciona persistência criando uma tarefa agendada e um link de inicialização, e o sucesso.js é responsável por relatar o status ao C2, aponta o BleepingComputer.

A cadeia do carregador do Python se desdobra na memória e envolve o carregamento de vários scripts, shellcode e DLLs Delphi até que tudo esteja pronto para executar a carga útil final em um processo Python. O estágio final é realizado pelo Instructions.js, que busca as extensões do Chrome e as instala no sistema da vítima. Finalmente, todas as extensões são iniciadas com os argumentos apropriados.

Extensões do Chrome

Imagem: Reprodução | BleepingComputer

A Avast diz que viu cinco extensões maliciosas do navegador Chrome instaladas nos dispositivos das vítimas, incluindo:

Online – Imprime as impressões digitais da vítima e escreve uma chave de registro.

Mtps4 – Conecta-se ao C2 e aguarda PascalScripts de entrada. Também é capaz de capturar uma captura de tela e exibi-la em tela cheia para ocultar tarefas maliciosas em execução em segundo plano.

Chrolog – Rouba senhas do Google Chrome, exfiltrando o banco de dados para o C2 através de HTTP.

Chronodx – Um carregador e trojan bancário JS que é executado silenciosamente em segundo plano e aguarda a inicialização do Chrome. Se o navegador for aberto, ele o fechará imediatamente e reabrirá sua própria instância do Chrome, que possibilita a coleta de informações bancárias.

Chremows – Tem como alvo as credenciais do mercado online do Mercado Livre.

A campanha ainda está em andamento

Neste momento, a campanha do Chaes ainda está em andamento, e aqueles que foram comprometidos permanecerão em risco, mesmo que os sites sejam limpos. A Avast afirma que alguns dos sites comprometidos abusados ??para descartar as cargas úteis são muito populares no Brasil, então o número de sistemas infectados provavelmente é grande, lembra o BleepingComputer.

Via: BleepingComputer

Acesse a versão completa
Sair da versão mobile