Новости Троянский конь в Chrome: данные банков Латинской Америки в руках расширения ParaSiteSnatcher

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022
Зачем безобидному расширению понадобились финансовые данные крупнейших бразильских банков?


3vowm2b8x2sc20njr91vmybess65f7bb.jpg


Компания Trend Micro Для просмотра ссылки Войди или Зарегистрируйся вредоносное расширение для Google Chrome под названием ParaSiteSnatcher, которое нацелено на пользователей в Латинской Америке, в частности в Бразилии. Расширение позволяет злоумышленникам отслеживать, манипулировать и похищать чувствительную информацию из различных источников, включая финансовые данные и данные банковских счетов.

Отмечается, что помимо Google Chrome , расширение может работать на других Chromium-браузерах, включая новые версии Microsoft Edge, Brave и Opera. ParaSiteSnatcher также потенциально может быть совместимо с Firefox и Safari, но только при внесении изменений в исходный код расширения, чтобы адаптировать его для работы в этих браузерах.

Согласно отчёту Trend Micro, ParaSiteSnatcher использует API браузера Chrome для перехвата и эксфильтрации всех POST-запросов, содержащих конфиденциальную информацию, до инициации TCP-соединения. Особенно под угрозой находятся данные, связанные с крупнейшими бразильскими банками Banco do Brasil и Caixa Econômica Federal, а также операции в местной системе мгновенных платежей PIX и платежи через метод Boleto Bancario. Также обнаружено похищение бразильских ИНН и cookie-файлов, в том числе тех, которые используются для учетных записей Microsoft.

ParaSiteSnatcher распространяется через загрузчик на VBScript, размещенный на Dropbox и Google Cloud. Выявлено 3 варианта загрузчика, отличающихся уровнем обфускации и сложности:

  • Вариант 1. Простой, без обфускации полезной нагрузки, что упрощает анализ;
  • <b style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));">Вариант 2.</b><span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));"> Использует технику Reverse String для обфускации критических строк;</span>
  • <b style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));">Вариант 3.</b><span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));"> Включает дополнительные техники обфускации, защиту от отладки и вмешательства, а также использование случайно сгенерированных имен для переменных и функций.</span>

Для установки связи с сервером управления и контроля (Command and Control, C2 ), вредоносное ПО отправляет GET-запрос на адрес hxxps[:]//storage.googleapis[.]com/98jk3m5azb/-. Ответ сервера представляет собой обфусцированный список URL, который затем деобфусцируется с помощью серии манипуляций со строками, возвращая строку в исходный порядок и заменяя определенные символы их правильными аналогами для восстановления URL.

Использование вредоносных расширений Google Chrome путем использования API Chrome способами, специально предназначенными для перехвата, извлечения и потенциального изменения конфиденциальных данных, подчеркивает важность бдительности при установке расширений и при использовании веб-браузеров.

Многогранный подход ParaSiteSnatcher к сокрытию его попадания в системы жертвы также обеспечивает постоянство и скрытность, что затрудняет обнаружение и удаление, поэтому пользователям следует внимательно следить за конкретными расширениями, которые они загружают и устанавливают в свои браузеры.
 
Источник новости
www.securitylab.ru

Похожие темы