SafeUM
Home Блог Услуги Скачать Помощь О нас Пополнить
EN
RU

Axarhöfði 14, 110 Reykjavik, Iceland

Iceland - 2015
SafeUM
Блог
Услуги
Скачать
Помощь
О нас
Пополнить
Меню
RU
Язык
EN
RU
Архив
TOP Security!
31 Окт 2017

Зловредный Chrome-плагин ворует учетные данные

Исследователь из бразильской ИБ-компании Morphus предупреждает о появлении вредоносного JavaScript-расширения Chrome, нацеленного на кражу учетных данных посредством перехвата запросов HTTP POST.

Ренату Маринью (Renato Marinho) обнаружил нового зловреда в ходе анализа написанного на португальском языке спам-сообщения о неких фото, якобы отосланных получателю через WhatsApp.

Это письмо содержало ссылки, при активации которых на компьютер пользователя загружался вредоносный файл whatsapp.exe. При запуске этот дроппер отображает поддельное окно инсталлятора Adobe PDF Reader. Если пользователь даст разрешение на установку, кликнув по предложенной кнопке, зловред загрузит и распакует zip-архив md18102136.cab размером порядка 9,5 Мбайт, содержащий два файла — md0.exe и md1.exe (по 200 Мбайт каждый).

Анализ бинарников этих исполняемых файлов показал, что полезный объем составляет в них менее 3%, остальные строки — это фиктивные операции, призванные раздуть размер файла. Этот трюк, по мнению Маринью, используется для обхода защитных решений, которые обычно не проверяют крупные файлы.

После запуска md0.exe пытается отключить брандмауэр Windows и принудительно завершить все процессы Google Chrome, которые могут воспрепятствовать установке вредоносного расширения. Затем он извлекает из своего тела JavaScript-плагин и вносит изменения в модуль запуска Chrome (lnk-файл), отключая также предусмотренную в нем защиту с тем, чтобы обеспечить беспрепятственную загрузку зловреда при следующем исполнении браузера.

После запуска вредоносный плагин начинает отслеживать и перехватывать все POST-запросы жертвы, фиксируя URL и строки requestBody. Эти данные шифруются и передаются функции savetofile для отправки на C&C-сервер. Такой подход, по словам Маринью, позволяет воровать конфиденциальную информацию с меньшими трудозатратами в сравнении с более привычными методами. В данном случае зловреду не нужно отслеживать конкретные URL с целью отлова учетных данных. Также нет необходимости заманивать жертву на поддельный сайт с сомнительным SSL-сертификатом или разворачивать локальный прокси-сервер для перехвата интернет-соединений.

Новый зловредный плагин, по мнению исследователя, обречен на успех, так как Chrome позволяет расширениям получать доступ к полям форм с конфиденциальными данными, не испрашивая дополнительно согласие у пользователя. Кроме того, Chrome разрешает расширениям самостоятельно и без огласки устанавливать соединения со сторонними онлайн-объектами, а защиту браузера от вредоносных действий плагинов можно отключить, проставив соответствующий аргумент в командной строке — как в данном случае.


Скачайте SafeUM — общайтесь приватно, без рекламы и спама.

Теги:
мошенничество утечка информации Chrome
Источник:
Threatpost
567
ДРУГИЕ НОВОСТИ
7 Июнь 2018 safeum news imgage Ворующий данные вирус для роутеров умеет обходить шифрование
4 Июнь 2018 safeum news imgage Мошенники атакуют пользователей сервиса Booking.com
1 Июнь 2018 safeum news imgage Оператор крупнейшей точки обмена трафиком подал в суд на немецкую спецслужбу
30 Май 2018 safeum news imgage ФБР выявило два инструмента северокорейских кибершпионов
29 Май 2018 safeum news imgage Новый закон позволил европейцам требовать миллиарды у Google и Facebook
25 Май 2018 safeum news imgage Предустановленное вредоносное ПО обнаружили на сотнях моделей смартфонов
24 Май 2018 safeum news imgage GPS-трекеры для домашних животных позволяют следить за их хозяевами
23 Май 2018 safeum news imgage К Google подали иск из-за слежки за пользователями iPhone
21 Май 2018 safeum news imgage Данные о местоположении всех смартфонов в США оказались в открытом доступе
18 Май 2018 safeum news imgage Власти США запустили фальшивое ICO
17 Май 2018 safeum news imgage Хакеры похитили сотни миллионов у банков Мексики
17 Май 2018 safeum news imgage Крупнейшие сотовые операторы США продают доступ к данным о местоположении клиентов
16 Май 2018 safeum news imgage В Австралии Google обвинили в сборе данных за счет пользователей
15 Май 2018 safeum news imgage Wi-Fi для пассажиров позволяет хакерам захватить управление поездом
15 Май 2018 safeum news imgage Произошла утечка данных трёх миллионов пользователей Facebook
Все новости
SafeUM
Конфиденциальность Наши технологии О компании
Контакты
Скачать
SafeUM © Безопасный универсальный мессенджер

Axarhöfði 14,
110 Reykjavik, Iceland

Iceland - 2015