Kaydol

Merhaba Sevgili Floodlar.com Kullanıcısı, Web sitemizde geçirdiğiniz zaman ve bu büyüleyici flood evrenine katılımınız için teşekkür ederiz. Floodların geniş dünyasıyla dolu deneyiminizi daha fazla keşfetmek için, web sitemizi sınırsız olarak kullanabilmeniz adına giriş yapmanız gerekmektedir.

Oturum aç

Merhaba Floodlar.com Kullanıcısı, İlk üç sayfayı tamamladınız, tebrikler! Ancak, floodların devamını görmek ve daha fazla interaktif deneyim yaşamak için giriş yapmanız gerekiyor. Hesabınız yoksa, hızlıca oluşturabilirsiniz. Sınırsız floodlar ve etkileşimler sizleri bekliyor. Giriş yapmayı unutmayın!

Şifremi hatırlamıyorum

Şifreniz mi unuttunuz? Endişelenmeyin! Lütfen kayıtlı e-posta adresinizi giriniz. Size bir bağlantı göndereceğiz ve bu link üzerinden yeni bir şifre oluşturabileceksiniz.

Fil Necati Masonlar Locası Subreddit Adı Nedir? Cevap: ( N31 )

Üzgünüz, flood girme izniniz yok, Flood girmek için giriş yapmalısınız.

Lütfen bu Floodun neden bildirilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Lütfen bu cevabın neden bildirilmesi gerektiğini kısaca açıklayın.

Lütfen bu kullanıcının neden rapor edilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Mobil Uygulamada Açın

Güncel Floodlar En sonuncu Nesne

Chaes bankacılık truva atı, Chrome’u kötü amaçlı uzantılarla ele geçirdi

Chaes bankacılık truva atı, Chrome’u kötü amaçlı uzantılarla ele geçirdi

Güvenliği ihlal edilmiş 800’den fazla WordPress web sitesini içeren büyük ölçekli bir kampanya, Brezilyalı e-bankacılık kullanıcılarının kimlik bilgilerini hedefleyen bankacılık truva atlarını yayıyor.

Bu kampanyada kullanılan truva atı ‘Chaes’ olarak adlandırılıyor ve Avast araştırmacılarına göre 2021’in sonlarından beri aktif olarak yayılıyor.

Güvenlik firmasının Brezilya CERT’sini bilgilendirmesine rağmen, yüzlerce web sitesi hala kötü amaçlı yazılımları zorlayan kötü amaçlı komut dosyalarıyla tehlikeye atıldığı için kampanya devam ediyor.

saldırı zinciri

Kurban, güvenliği ihlal edilmiş web sitelerinden birini ziyaret ettiğinde, kendilerine sahte bir Java Runtime uygulaması yüklemelerini isteyen bir açılır pencere sunulur.

Kullanıcıyı Java'yı indirmeye çağıran uyarı
Kullanıcıyı Java’yı indirmeye çağıran uyarı
Kaynak: Avast

MSI yükleyicisi, Python ortamını bir sonraki aşama yükleyici için hazırlayan üç kötü amaçlı JavaScript dosyası (install.js, sched.js, sucesso.js) içerir.

sched.js betiği, Zamanlanmış Görev ve Başlangıç ​​bağlantısı oluşturarak kalıcılık sağlar ve sucesso.js, durumu C2’ye bildirmekten sorumludur.

Bu arada, install.js betiği aşağıdaki görevleri gerçekleştirir:

  • İnternet bağlantısını kontrol edin (google.com’u kullanarak)
  • %APPDATA%\\extensions klasörü oluşturun
  • python32.rar/python64.rar ve unrar.exe gibi parola korumalı arşivleri bu uzantılar klasörüne indirin
  • Yeni oluşturulan uzantılar klasörünün yolunu HKEY_CURRENT_USER\Software\Python\Config\Path dizinine yazın
  • Bazı temel sistem profilleme işlemlerini gerçekleştirir
  • python32.rar/python64.rar paketini açmak için bir argüman olarak belirtilen parola ile unrar.exe komutunu yürütün
  • C2’ye bağlanın ve iki şifreli yük ile birlikte 32bit ve 64bit __init__.py komut dosyalarını indirin. Her yükün sözde rastgele bir adı vardır.
Chaes enfeksiyon zinciri
Chaes enfeksiyon zinciri
Kaynak: Avast

Python yükleyici zinciri bellekte açılır ve bir Python işlemi içinde son yükü yürütmek için her şey yerli yerinde olana kadar birden çok komut dosyası, kabuk kodu ve Delphi DLL’lerinin yüklenmesini içerir.

Son aşama, Chrome uzantılarını getiren ve bunları kurbanın sistemine yükleyen Talimatlar.js tarafından gerçekleştirilir. Son olarak, tüm uzantılar uygun argümanlarla başlatılır.

Chrome uzantıları

dur gördüklerini söylüyor kurbanın cihazlarına yüklenen beş farklı kötü amaçlı Chrome tarayıcı uzantısı:

  • İnternet üzerinden – Kurbanın parmak izini alır ve bir kayıt defteri anahtarı yazar.
  • Mtps4 – C2’ye bağlanır ve gelen PascalScript’leri bekler. Ayrıca arka planda çalışan kötü amaçlı görevleri gizlemek için bir ekran görüntüsü yakalayabilir ve tam ekranda görüntüleyebilir.
  • kronolog – Veritabanını HTTP aracılığıyla C2’ye aktararak Google Chrome’dan şifreleri çalar.
  • kronodx – Arka planda sessizce çalışan ve Chrome’un başlatılmasını bekleyen bir yükleyici ve JS bankacılık truva atı. Tarayıcı açılırsa, hemen kapatacak ve bankacılık bilgilerinin toplanmasını mümkün kılan kendi Chrome örneğini yeniden açacaktır.
  • Chremow’lar – Mercado Libre çevrimiçi pazar yeri kimlik bilgilerini hedefler.
Chrome'u kapatma ve yeniden başlatma
Chrome’u kapatma ve yeniden başlatma
Kaynak: Avast

Şu anda, Chaes kampanyası hala devam ediyor ve güvenliği ihlal edilenler, web siteleri temizlense bile risk altında kalacak.

Avast, yükleri düşürmek için kötüye kullanılan bazı güvenliği ihlal edilmiş web sitelerinin Brezilya’da çok popüler olduğunu, bu nedenle virüslü sistemlerin sayısının muhtemelen çok fazla olduğunu iddia ediyor.

İlgili Mesajlar

Yorum eklemek için giriş yapmalısınız.