アバスト IT セキュリティ研究者は、マルウェア キャンペーンにより 800 以上の WordPress サイトが侵害され、Chaes と呼ばれるトロイの木馬が配布されたことを発見しました。このマルウェアは、感染した Google Chrome 拡張機能を使用して、被害者の銀行口座を空にします。
新しいマルウェアに触れない日はありません。その間フランス法務省がランサムウェアの標的に、多くのブラジルの銀行の顧客が新たなサイバー攻撃の標的となる番です。
アバストの IT セキュリティ研究者が指摘しているように、このキャンペーンでは Chaes と呼ばれるマルウェアが使用されています。すでに 800 以上の WordPress Web サイトに感染しており、そのおかげで広がり続けています。に特化したマルウェアです情報盗難特に高度な感染チェーンを介して。
「Chaes は、JScript、Python、NodeJS などのスクリプト フレームワーク、Delphi で書かれたバイナリを使用するマルチステージ配信が特徴です (ndrl: プログラミング言語) および悪意のある Google Chrome 拡張機能」、アバストの研究者である Anh Ho 氏と Igor Morgensten 氏はこう説明します。 「Chaes の最終目標は、Chrome に保存されている認証情報を盗み、ブラジルで人気のある銀行サイトへのログインを傍受することです。
こちらもお読みください:Powerpoint ハッカーが Microsoft ソフトウェアを使用してマルウェアを拡散
Chaes マルウェアが Chrome をハイジャックして被害者を破滅させる
Chaes の仕組みは次のとおりです。ユーザーが感染した Web サイトのいずれかにアクセスすると、攻撃シーケンスがトリガーされます。偽の JavaRuntime アプリケーションをインストールするように求めるポップアップが表示されます。ターゲットが指示に従った場合、悪意のあるインストーラーは複数のモジュールの展開を引き起こす複雑なマルウェア配布ルーチン。これらのモジュールはまさにこれらの悪意のある拡張機能です。クロム。彼らの名前と役割の詳細は次のとおりです。
- オンライン: 被害者のフィンガープリントを取得し、システム情報をコマンド アンド コントロール サーバーに送信するために使用される Delphi モジュール
- Mtps4: Delphi ベースのバックドア。主なタスクは C2 サーバーに接続し、応答する Pascal スクリプトの実行を待つことです。
- Chrolog: Delphi で書かれた Google Chrome パスワード スティーラー
- Chremows: ユーザー情報を盗もうとするために、Chrome でキーボードの押下とマウスのクリックを記録する Javascript バンキング トロイの木馬
アバストは、このキャンペーンはまだ継続中であると述べており、実際、専門家がブラジルのCERTで調査結果を共有、コンピューター攻撃を監視し、警告し、対応するための政府センター。
ソース :ザハッカーニュース
