Эксперты компании Avast, разрабатывающей одноимённый антивирус, сообщили о масштабной хакерской кампании по взлому сайтов на системе WordPress и установке на них расширений, которые заражают устройства посетителей этих ресурсов с помощью вируса Chaes.
О серии этих атак известно с конца 2021 года. Посетителям заражённого ресурса предлагают установить поддельное приложение Java Runtime — это старый метод. После этого на компьютер жертвы автоматически загружается установщик с тремя файлами, создающими на устройстве систему для автозапуска вируса, сообщений оператору об успешности атаки и контроля сети и реестра Windows.
Когда все первичные процессы завершены, на компьютер автоматически устанавливаются вредоносные расширения для Google Chrome, маскирующиеся под легальные.
Перечень такой: – Online— снимает цифровой отпечаток жертвы и создаёт ключ реестра.
-
Mtps4— подключается к C2-серверу и ждёт входящих PascalScript. Также может снимать скриншоты и отображать их во весь экран, чтобы скрыть вредоносную активность.
-
Chrolog— крадёт пароли из Google Chrome.
-
Chronodx— представляет собой загрузчик и банковский JS-троян. Работает незаметно и ждёт запуска Chrome.
-
Chremows— крадёт учётные данные от торговых онлайн-площадок.
Источник: Ferra