資安業者Avast在本周揭露了一起複雜的Chaes金融木馬攻擊手法,駭客先入侵了800個WordPress網站,再引誘造訪相關網站的使用者安裝假冒的Java Runtime,進而於Chrome瀏覽器上植入惡意擴充程式,目的是為了竊取存放於Chrome上的機密憑證。

目前Avast並不確定駭客是如何入侵眾多WordPress網站的,猜測是開採WordPress內容管理系統的安全漏洞,且在這800個被駭網站中,有超過700個都是使用巴西的頂級網域名稱,顯示此一攻擊鎖定的是巴西用戶。

當使用者造訪了已遭入侵的WordPress網站之後,就會跳出一個要求使用者安裝Java Runtime的視窗,它看起來就像是真的Java安裝功能,但實際安裝的卻是install.js、sched.js與sucesso.js等3個惡意的JavaScript檔案,install.js負責下載另一個腳本程式,以部署下一階段所需的Python環境,sched.js主要建立長駐能力,sucesso.js則擔任向C&C伺服器回報任務進度的角色。

接著便進入了Python的記憶體內載入程序,它會載入各種Python/JavaScript腳本程式、Shellcode、Delphi DLLs與.NET PE等,直至執行Instructions.js。

而Instructions.js的任務即是下載惡意的Chrome擴充程式,包括紀錄受害者指紋的Online、可擷取螢幕畫面的Mtps4、可自Chrome竊取密碼的、金融木馬Chronodx,以及鎖定線上購物平臺Mercado Libre憑證的Chremows。

根據Avest的說明,當使用者造訪了遭入侵的WordPress網站時,網頁上會跳出一個看似要求使用者安裝Java Runtime的視窗,但它實際安裝的是3個惡意JavaScript檔案。

熱門新聞

Advertisement