Розробник антивірусного софту Avast зафіксував появу нового банківського трояна. Він використовується хакерами для зламування веб-ресурсів WordPress. Після зламування чергового сайту троян встановлює на нього розширення, яке заражає комп’ютери відвідувачів вірусом Chaes.
Хакерські атаки розпочалися ще наприкінці минулого року. Користувачам, які відвідують заражені ресурси, пропонується завантажити на пристрій аплет Java Runtime. У разі згоди на ПК жертви встановлюється інсталятор, до складу якого входять три файли. Вони створюють на ПК систему для автоматичного запуску вірусу, повідомляють ініціаторів кібератаки про її успішність і контролюють реєстр та мережу програмної платформи Windows.
Після завершення всіх первинних процесів на ПК жертви завантажуються такі шкідливі розширення для браузера Google Chrome, які маскуються під легальні:
- Mtps4 (Використовується для підключення до C2-сервера. Робить скріншоти з метою їх подальшого відображення на екрані для приховування шкідливої активності).
- Online (призначений для створення ключа реєстру та зняття digital-відбитка жертви).
- Chremows (викрадає облікові дані користувачів, які використовуються для авторизації на торгових онлайн-майданчиках).
- Chronodx (банківський JavaScript-троян та завантажувач).
- Chrolog (призначено для викрадення паролів із браузера Chrome).
Слід мати на увазі, що пропозиція про встановлення Jave Runtime вважається досить старим способом злому ПК жертви. Погоджуватися на нього не слід.