31.10.2017 в 16:06

Зловредный Chrome-плагин ворует учетные данные на лету

Ренату Маринью (Renato Marinho) обнаружил нового зловреда в ходе анализа написанного на португальском языке спам-сообщения о неких фото, якобы отосланных получателю через WhatsApp. Это письмо содержало ссылки, при активации которых на компьютер пользователя загружался вредоносный файл whatsapp.exe.

При запуске этот дроппер отображает поддельное окно инсталлятора Adobe PDF Reader. Если пользователь даст разрешение на установку, кликнув по предложенной кнопке, зловред загрузит и распакует zip-архив md18102136.cab размером порядка 9,5 Мбайт, содержащий два файла — md0.exe и md1.exe (по 200 Мбайт каждый).

Анализ бинарников этих исполняемых файлов показал, что полезный объем составляет в них менее 3%, остальные строки — это фиктивные операции, призванные раздуть размер файла. Этот трюк, по мнению Маринью, используется для обхода защитных решений, которые обычно не проверяют крупные файлы.

После запуска md0.exe пытается отключить брандмауэр Windows и принудительно завершить все процессы Google Chrome, которые могут воспрепятствовать установке вредоносного расширения. Затем он извлекает из своего тела JavaScript-плагин и вносит изменения в модуль запуска Chrome (lnk-файл), отключая также предусмотренную в нем защиту с тем, чтобы обеспечить беспрепятственную загрузку зловреда при следующем исполнении браузера.

После запуска вредоносный плагин начинает отслеживать и перехватывать все POST-запросы жертвы, фиксируя URL и строки requestBody. Эти данные шифруются и передаются функции savetofile для отправки на C&C-сервер. Такой подход, по словам Маринью, позволяет воровать конфиденциальную информацию с меньшими трудозатратами в сравнении с более привычными методами. В данном случае зловреду не нужно отслеживать конкретные URL с целью отлова учетных данных. Также нет необходимости заманивать жертву на поддельный сайт с сомнительным SSL-сертификатом или разворачивать локальный прокси-сервер для перехвата интернет-соединений.

Новый зловредный плагин, по мнению исследователя, обречен на успех, так как Chrome позволяет расширениям получать доступ к полям форм с конфиденциальными данными, не испрашивая дополнительно согласие у пользователя. Кроме того, Chrome разрешает расширениям самостоятельно и без огласки устанавливать соединения со сторонними онлайн-объектами, а защиту браузера от вредоносных действий плагинов можно отключить, проставив соответствующий аргумент в командной строке — как в данном случае.

Источник новости: threatpost.ru
134 просмотра

Оставить комментарий

Популярные статьи

Как установить Internet Explorer на Mac OS

прочтений: 8286 23.12.2015 в 19:12
У разработчиков различных программных продуктов очень часто возникает необходимость тестирования своих новых наработок в разных браузерах. Но если для основной работы используются, например, компьютеры... Читать далее
Браузер Opera Mini как для Android, так и для остальных мобильных ОС, на которых он выпущен (Symbian, iOS, Windows Phone), имеет встроенную функцию сохранения страниц веб-сайтов с дальнейшей возможностью их просмотра без подключения... Читать далее
Часто возникает необходимость сохранять различные страницы в Интернете для последующего их использования. И отлично справляется с этим такая функция браузера, как добавление закладок и, конечно же,... Читать далее
В отличие от браузера Google Chrome, в котором функция сохранения страницы в PDF является встроенной, в Firefox и Opera это достигается установкой специальных расширений и плагинов.... Читать далее
Облако тегов