Trojan Chaes Banking Membajak Browser Chrome dengan Ekstensi Berbahaya

  • Whatsapp
Chaes Banking Trojan
Trojan Chaes Banking Membajak Browser Chrome dengan Ekstensi Berbahaya

News.nextcloud.asia –

Trojan Perbankan Chaes

Kampanye malware bermotivasi finansial telah mengkompromikan lebih dari 800 situs WordPress untuk mengirimkan trojan perbankan yang dijuluki Chaes menargetkan pelanggan Brasil dari Banco do Brasil, Loja Integrada, Mercado Bitcoin, Mercado Livre, dan Mercado Pago.

Pertama kali didokumentasikan oleh cybereason pada November 2020, malware pencuri informasi dikirimkan melalui rantai infeksi canggih yang dirancang untuk mengumpulkan informasi sensitif konsumen, termasuk kredensial login, nomor kartu kredit, dan informasi keuangan lainnya.

“Chaes ditandai dengan pengiriman beberapa tahap yang menggunakan kerangka kerja skrip seperti JScript, Python, dan NodeJS, binari yang ditulis dalam Delphi, dan ekstensi Google Chrome berbahaya,” peneliti Avast Anh Ho dan Igor Morgenstern dikatakan. “Tujuan akhir Chaes adalah mencuri kredensial yang disimpan di Chrome dan mencegat login situs web perbankan populer di Brasil.”

Pencadangan GitHub Otomatis

Urutan serangan dipicu ketika pengguna mengunjungi salah satu situs web yang terinfeksi, di mana pop-up ditampilkan, mendesak mereka untuk menginstal aplikasi Java Runtime palsu. Jika pengguna mengikuti instruksi, penginstal jahat memulai rutinitas pengiriman malware kompleks yang memuncak dalam penyebaran beberapa modul.

Trojan Perbankan Chaes

Beberapa muatan perantara tidak hanya dienkripsi tetapi juga disembunyikan sebagai kode komentar di dalam halaman HTML domain blogspot Blogger (“awsvirtual[.]blogspot.com”). Pada tahap akhir, penetes JavaScript mengunduh dan memasang sebanyak lima ekstensi Chrome —

  • On line – Modul Delphi yang digunakan untuk sidik jari korban dan mengirimkan informasi sistem ke server command-and-control (C2)
  • Mtps4 (MultiTela Pascal) – Pintu belakang berbasis Delphi yang tujuan utamanya adalah untuk terhubung ke server C2 dan menunggu tanggapan Skrip Pascal untuk mengeksekusi
  • Krolog (ChromeLog) – Pencuri kata sandi Google Chrome yang ditulis dalam Delphi
  • Chronodx (Noder Chrome) – Trojan JavaScript yang, setelah mendeteksi peluncuran browser Chrome oleh korban, segera menutupnya dan membuka kembali instance Chrome-nya sendiri yang berisi modul jahat yang mencuri informasi perbankan
  • Chremows (Chrome WebSocket) – Trojan perbankan JavaScript yang merekam penekanan tombol dan klik mouse di Chrome dengan tujuan mencuri kredensial login dari pengguna Mercado Livre dan Mercado Pago
Mencegah Pelanggaran Data

Menyatakan bahwa serangan sedang berlangsung, Avast mengatakan bahwa mereka telah membagikan temuannya dengan CERT Brasil untuk mengganggu penyebaran malware. Konon, artefak terkait Chaes terus ada di beberapa situs web yang terinfeksi.

“Chaes mengeksploitasi banyak situs web yang berisi CMS WordPress untuk melayani penginstal jahat,” para peneliti menyimpulkan. “Ekstensi Google Chrome dapat mencuri kredensial pengguna yang disimpan di Chrome dan mengumpulkan informasi perbankan pengguna dari situs web perbankan populer.”

.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.