Новости - Бэкдор распространяется под видом фальшивого обновления для Chrome | Форум по пробиву информации
  • ОСТОРОЖНО ФЕЙКИ ФОРУМА!

    В сети появляются фейки нашего форума!

    Будьте бдительны!

    ВНИМАНИЕ НАШИ ДОМЕНЫ ТОЛЬКО

    PROBIV.CC = PROBIV.BIZ = PROBIV.ONE = PROBIV.CLUB = PROBIV.ME = PROBIV.SITE = PROBIV.BZ!

    В СЕТИ ТОР ДОМЕН ТОЛЬКО

    PROBIV7JG46VMBOX.ONION!

    Напоминаем, что АГ форума не просят деньги в мессенжерах! Все вопросы решаются через форум!

    Будьте внимательны!
  • Внимание !

    На ряде теневых форумов участились случаи взлома аккаунтов, приоритет у взломщиков имеют старые аккаунты и аккаунты с историей, продаются и аккаунты продавцов.

    Будьте внимательны, старайтесь проводить сделки через Гарант-сервис. Если Вы хотите приобрести услугу у продавца или у отлежавшегося аккаунта, требуйте провести сделку через гарант-сервис, при отказе сразу сообщайте АГ форума.

    Настоятельно рекомендуем:

    • Периодически менять пароли
    • Убирать галочку вхождение автоматом в браузере
    • Чистить куки и кеш браузера
    • Использовать двухфакторную аутентификацию
  • АФИША ФОРУМА

    Полезная информация для форумчан:

    FAQ по форуму

    (все самое полезное в одном месте)

    Аттракцион бесплатных проверок

    (помогаем модераторам проводить проверки тем)

    Бесплатный сыр

    ( раздел для искушённого пользователя)

    Конкурсы

    (участвуй в конкурсах и получай призы)

Новости Бэкдор распространяется под видом фальшивого обновления для Chrome

  • Автор темы GLOV
  • Дата начала

GLOV

Прошлый ник Glover
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club

GLOV

Прошлый ник Glover
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Регистрация
20/5/18
Сообщения
1.091
Репутация
536
Реакции
1.333
Сделок через гаранта
15
Депозит
57 572 рублей

Специалисты «Доктор Веб» предупредили, что через скомпрометированные сайты на базе WordPress распространяется фиктивное обновление для Chrome. Так, JavaScript-сценарий, встроенный в код взломанных страниц, перенаправляет посетителей на фишинговую страницу, где им предлагают установить важное обновление безопасности для браузера. Загружаемый файл представляет собой установщик малвари, который позволяет злоумышленникам удалено управлять зараженными компьютерами. На данный момент это «обновление» скачали более 2000 человек.

По данным исследователей, за этой кампанией стоит та же хак-группа, которая ранее была причастна к распространению поддельного установщика популярного видеоредактора VSDC, как через официальный сайт программы, так и с помощью сторонних каталогов. На этот раз хакерам удалось получить административный доступ к CMS ряда сайтов, которые стали использоваться в цепочке заражения. В коды страниц скомпрометированных ресурсов встривают скрипт, который перенаправляет пользователей на фишинговую страницу, маскирующуюся под официальный ресурс Google.

Выборка пользователей осуществляется на основе геолокации и определения браузера пользователя. Целевая аудитория — посетители из США, Канады, Австралии, Великобритании, Израиля и Турции, использующие браузер Google Chrome. Стоит заметить, что скачиваемый файл имеет действительную цифровую подпись, аналогичную подписи фальшивого установщика NordVPN, распространяемого той же преступной группой.

Механизм заражения реализован следующим образом. При запуске программы в директории %userappdata% создается папка, содержащая файлы утилиты для удаленного администрирования TeamViewer, а также выполняется распаковка двух защищенных паролем SFX-архивов. В одном из архивов находится вредоносная библиотека msi.dll, позволяющая установить несанкционированное соединение с зараженным компьютером, и пакетный файл для запуска браузера Chrome со стартовой страницей Google[.]com. Из второго архива извлекается скрипт для обхода встроенной антивирусной защиты OC Windows. Вредоносная библиотека msi.dll загружается в память процессом TeamViewer, попутно скрывая от пользователя его работу.

С помощью этого бэкдора злоумышленники получают возможность доставлять на зараженные устройства полезную нагрузку в виде других вредоносных приложений. Среди них уже были замечены:

кейлоггер X-Key Keylogger,
инфостилер Predator The Thief,
троян для удаленного управления по протоколу RDP.
 
Сверху Снизу