Новий банківський троян зламує сайти через розширення для Google Chrome

Про серію цих атак відомо з кінця 2021 року. Відвідувачам зараженого ресурсу пропонують встановити підроблену програму Java Runtime – це старий метод. Після цього на комп’ютер жертви автоматично завантажується інсталятор з трьома файлами, що створюють на пристрої систему автозапуску вірусу, повідомлень оператору про успішність атаки і контролю мережі і реєстру Windows.

Коли всі первинні процеси завершені, на комп’ютер автоматично встановлюються шкідливі розширення Google Chrome, що маскуються під легальні.

Перелік такий:

• Online – знімає цифровий відбиток жертви та створює ключ реєстру.

• Mtps4 – підключається до C2-серверу і чекає на вхідні PascalScript. Також може знімати скріншоти та відображати їх на весь екран, щоб приховати шкідливу активність.

• Chrolog – краде паролі з Google Chrome.

• Chronodx – це завантажувач і банківський JS-троян. Працює непомітно і чекає на запуск Chrome.

• Chremows – краде облікові дані від торгових онлайн-майданчиків.