Güvenliği ihlal edilmiş 800’den fazla WordPress web sitesini içeren büyük ölçekli bir kampanya, Brezilyalı e-bankacılık kullanıcılarının kimlik bilgilerini hedefleyen bankacılık truva atlarını yayıyor.
Bu kampanyada kullanılan truva atı ‘Chaes’ olarak adlandırılıyor ve Avast araştırmacılarına göre 2021’in sonlarından beri aktif olarak yayılıyor.
Güvenlik firmasının Brezilya CERT’sini bilgilendirmesine rağmen, yüzlerce web sitesi hala kötü amaçlı yazılımları zorlayan kötü amaçlı komut dosyalarıyla tehlikeye atıldığı için kampanya devam ediyor.
saldırı zinciri
Kurban, güvenliği ihlal edilmiş web sitelerinden birini ziyaret ettiğinde, kendilerine sahte bir Java Runtime uygulaması yüklemelerini isteyen bir açılır pencere sunulur.
MSI yükleyicisi, Python ortamını bir sonraki aşama yükleyici için hazırlayan üç kötü amaçlı JavaScript dosyası (install.js, sched.js, sucesso.js) içerir.
sched.js betiği, Zamanlanmış Görev ve Başlangıç bağlantısı oluşturarak kalıcılık sağlar ve sucesso.js, durumu C2’ye bildirmekten sorumludur.
Bu arada, install.js betiği aşağıdaki görevleri gerçekleştirir:
- İnternet bağlantısını kontrol edin (google.com’u kullanarak)
- %APPDATA%\\extensions klasörü oluşturun
- python32.rar/python64.rar ve unrar.exe gibi parola korumalı arşivleri bu uzantılar klasörüne indirin
- Yeni oluşturulan uzantılar klasörünün yolunu HKEY_CURRENT_USER\Software\Python\Config\Path dizinine yazın
- Bazı temel sistem profilleme işlemlerini gerçekleştirir
- python32.rar/python64.rar paketini açmak için bir argüman olarak belirtilen parola ile unrar.exe komutunu yürütün
- C2’ye bağlanın ve iki şifreli yük ile birlikte 32bit ve 64bit __init__.py komut dosyalarını indirin. Her yükün sözde rastgele bir adı vardır.
Python yükleyici zinciri bellekte açılır ve bir Python işlemi içinde son yükü yürütmek için her şey yerli yerinde olana kadar birden çok komut dosyası, kabuk kodu ve Delphi DLL’lerinin yüklenmesini içerir.
Son aşama, Chrome uzantılarını getiren ve bunları kurbanın sistemine yükleyen Talimatlar.js tarafından gerçekleştirilir. Son olarak, tüm uzantılar uygun argümanlarla başlatılır.
Chrome uzantıları
dur gördüklerini söylüyor kurbanın cihazlarına yüklenen beş farklı kötü amaçlı Chrome tarayıcı uzantısı:
- İnternet üzerinden – Kurbanın parmak izini alır ve bir kayıt defteri anahtarı yazar.
- Mtps4 – C2’ye bağlanır ve gelen PascalScript’leri bekler. Ayrıca arka planda çalışan kötü amaçlı görevleri gizlemek için bir ekran görüntüsü yakalayabilir ve tam ekranda görüntüleyebilir.
- kronolog – Veritabanını HTTP aracılığıyla C2’ye aktararak Google Chrome’dan şifreleri çalar.
- kronodx – Arka planda sessizce çalışan ve Chrome’un başlatılmasını bekleyen bir yükleyici ve JS bankacılık truva atı. Tarayıcı açılırsa, hemen kapatacak ve bankacılık bilgilerinin toplanmasını mümkün kılan kendi Chrome örneğini yeniden açacaktır.
- Chremow’lar – Mercado Libre çevrimiçi pazar yeri kimlik bilgilerini hedefler.
Şu anda, Chaes kampanyası hala devam ediyor ve güvenliği ihlal edilenler, web siteleri temizlense bile risk altında kalacak.
Avast, yükleri düşürmek için kötüye kullanılan bazı güvenliği ihlal edilmiş web sitelerinin Brezilya’da çok popüler olduğunu, bu nedenle virüslü sistemlerin sayısının muhtemelen çok fazla olduğunu iddia ediyor.