Aplicație malware de tip backdoor distribuită prin actualizări Chrome false

Exploatarea site-urilor WordPress compromise nu este o noutate în domeniul securității cibernetice.

Hackerii preia controlul asupra siteurilor firmelor și blogurile de știri care rulează pe WordPress pentru a distribui aplicații malware de tip backdoor, care permit instalarea altor tipuri de aplicații malware pentru furtul de informații, troieni și software de keylogging. Pentru a efectua aceste atacuri, actorii amenințători folosesc actualizări false ale Chrome.

Etapa inițială a acestei campanii malițioase implică obținerea accesului admin la site-urile și blogurile WordPress vizate, urmată de injectarea de cod JavaScript, care îi redirecționează pe utilizatori la o actualizare falsă Chrome.

În loc să primească o actualizare, potențialele victime ar putea descărca aplicații malware care dau control asupra computerelor lor prin instalarea TeamViewer. După ce TeamViewer este instalat pe sistemul compromis, două arhive SFX protejate prin parolă încărcate cu fișiere malware vor fi dezarhivate. Acestea conțin fișierele necesare pentru a deschide pagina de actualizare falsă și a activa conexiunile la distanță. Un script specific pentru ocolirea protecțiilor Windows este de asemenea activat.

Malwareul descărcat pe sisteme compromise:

  • X-Key Keylogger;
  • Aplicațiile pentru furtul datelor The Predator and The Thiefers;
  • Un troian pentru control de la distanță prin protocolului RDP .