Sajber-kriminalci šire opasni backdoor kao lažno ažuriranje za Google Chrome

Vesti, 26.03.2020, 13:00 PM

Sajber-kriminalci šire opasni backdoor kao lažno ažuriranje za Google Chrome

Sajber-kriminalci koriste hakovane WordPress sajtove kompanija i novinske sajtove za širenje backdoor malvera koji im omogućava da u drugoj fazi napada već inficirane uređaje zarazi drugim malverima poput keyloggera, trojanaca i malvera koji kradu informacije.

Nakon što steknu administratorski pristup kompromitovanim WordPress sajtovima, napadači ubacuju JavaScript kod koji će automatski preusmeriti posetioce na fišing web sajtove. Ove stranice dizajnirane su tako da izgledaju kao legitimna stranica za ažuriranje Google Chromea, a napadači ih koriste da ubede potencijalne žrtve da preuzmu ažuriranje za svoj pregledač.

Međutim, umesto ažuriranja za Chrome, žrtve će preuzeti malver koji će zaraziti njihove uređaje i omogućiti onima koji stoje iza ove kampanje da daljinski preuzmu kontrolu nad njihovim računarima.

Kada se pokrene, instalacioni program ostavlja na računaru TeamViewer instalaciju i otvara dve lozinkom zaštićene SFX arhive koje sadrže fajlove potrebne za otvaranje lažne stranice za ažuriranje, kao i skriptu koju malver koristi da zaobiđe ugrađenu Windowsovu antivirusnu zaštitu.

Grupa koja stoji iza ovog napada “ranije je bila umešana u širenje lažnog instalacionog fajla popularnog VSDC video editora preko njegovog zvaničnog web sajta i softverske platforme CNET”, kažu istraživači kompanije Doctor Web.

Oni takođe stoje iza napada u kom je korišćen lažni web sajt NordVPN da bi se posetioci zarazili trojancem Bolik, dok se istovremeno instalirao NordVPN kako se ne bi izazvala bilo kakva sumnja.

Dok su ranije koristili kompromitovane sajtove za širenje bankarskog trojanca i KPOT malvera, ovog puta grupa koristi složeniji put infekcije koji uključuje backdoor koji im omogućava dalje inficiranje računara drugim malerima.

Napadači koriste backdoor da isporuče X-Key Keylogger, Predator The Thief i trojanca koji im pomaže u kontroli zaraženih računara preko RDP protokola.

“Izbor cilja zasnovan je na geolokaciji i detekciji pregledača. Ciljna grupa su korisnici iz SAD, Kanade, Australije, Velike Britanije, Izraela i Turske koji koriste Google Chrome”, objašnjavaju istraživači.

“Važno je napomenuti da preuzeti fajl ima validan digitalni potpis identičan potpisu lažnog instalacionog programa NordVPN koju distribuira ista kriminalna grupa.“

Lažna ažuriranja za Chrome dolaze u obliku dva različita instalaciona fajla pod nazivom Critical_Update.exe i Update.exe. Više od 2000 ljudi je do sada preuzelo lažno ažuriranje.

Više informacija o mehanizmu infekcije koji se koristi tokom ovog napada dostupno je u izveštaju kompanije Doctor Web.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Hakovana popularna matematička aplikacija Mathway, hakeri prodaju ukradene podatke 25 miliona korisnika

Hakovana popularna matematička aplikacija Mathway, hakeri prodaju ukradene podatke 25 miliona korisnika

Aplikacija za rešavanje matematičkih zadataka Mathway je hakovana, a napadači su ukrali email adrese i lozinke 25 miliona korisnika aplikacije. Ovo... Dalje

Izraelska firma NSO Group lažno se predstavljala kao Facebook da bi širila svoj čuveni špijunski softver

Izraelska firma NSO Group lažno se predstavljala kao Facebook da bi širila svoj čuveni špijunski softver

Ozloglašena izraelska kompanija NSO Group napravila je veb sajt koji izgleda kao da pripada Facebookovom timu za bezbednost, kako bi prevarila svoje ... Dalje

Sud u Holandiji naredio jednoj baki da obriše sa Facebooka slike svojih unuka

Sud u Holandiji naredio jednoj baki da obriše sa Facebooka slike svojih unuka

Jedna baka moraće da obriše fotografije svojih unuka koje je objavila na Facebooku i Pinterestu bez dozvole njihovih roditelja, presudio je sud u Ho... Dalje

Vaš ''selfi'' sa maskom možda se bez vaše dozvole koristi za razvoj tehnologije za prepoznavanje lica

Vaš ''selfi'' sa maskom možda se bez vaše dozvole koristi za razvoj tehnologije za prepoznavanje lica

Prethodnih meseci selfiji sa maskom na licu preplavili su društvene mreže. Ali osim prijatelja i porodica kojima su bile namenjene ove fotografije, ... Dalje

U ekstenziji za Microsoft Edge otkriven malver

U ekstenziji za Microsoft Edge otkriven malver

Novi Microsoftov pregledač Edge baziran je na Chromiumu, istom endžinu koji pokreće Google Chrome, tako da korisnik Edgea može da koristi u Micro... Dalje