خلاصه: یک افزونهی مخرب مرورگر کروم و Edge، دربپشتی قدرتمندی را برای دزدیدن اطلاعات از مرورگرها و نظارت بر فعالیتهای قربانیان توزیع میکند. این بدافزار از چندین تکنیک مهندسی اجتماعی در یک ایمیل همراه با یک ضمیمه استفاده میکند، این ایمیل حاوی اسناد مخربی است که بسیار مبهمسازی شدهاند. و افزونهی مخربی را در مرورگر بارگذاری میکنند. افزونهی مخرب بارگذاری شده بهعنوان یک دربپشتی طراحی شده است و اطلاعات صفحات و URLهای بازشده توسط کاربران را جمعآوری کرده و از طریق سرور کنترل و فرمان به مهاجم میفرستد.
یک افزونهی مخرب مرورگر کروم و Edge، دربپشتی قدرتمندی را برای دزدیدن اطلاعات از مرورگرها و نظارت بر فعالیتهای قربانیان توزیع میکند.
دانلودری که بدافزار را توزیع میکند، حاوی ابزار مدیریت راه دور Revisit و همچنین یک دربپشتی برای دردست گرفتن سیستم آلوده است. ظاهرا این دو پیلود از طرف یک گروه از نویسندگان بدافزار به اسم Moldova توزیع میشوند که این دربپشتیها را از طریق ضمیمههای مخرب ایمیلهای اسپم توزیع میکند.
این بدافزار از چندین تکنیک مهندسی اجتماعی در یک ایمیل همراه با یک ضمیمه استفاده میکند، این ایمیل حاوی اسناد مخربی است که بسیار مبهمسازی شدهاند.
ابتدا یک دراپر مخرب یک فایل جاوااسکریپت را که زیپ شده است و شامل دو نوع پیلود است را اجرا میکند. یک پیلود مبتنی بر جاوا و دیگری مبتنی بر NodeJS.
پیلود NodeJS شامل چندین فایل است. زمانی که کاربران ماکرو را فعال میکنند، این ماکرو node.exe install.js را که شامل اسکریپت نصب هستند را اجرا میکنند.
سپس install.vbs برای افزایش امتیاز و اضافه کردن قوانین فایروال فراخوانی میشود. این کار برای فعالسازی ترافیک بین ابزار دسترسی راه دوری که نصب خواهد کرد، انجام میشود.
زمانی که ماژولهای NodeJS و Java باز بودن مرورگرهای کروم و Edge را تشخیص میدهند، پروسهی افزونه اصلی مرورگر را kill میکنند، و پروسهی دیگری را ایجاد میکنند که افزونهی مخرب را بارگذاری میکند. سپس بررسیهای امنیتی را غیرفعال میکنند.
افزونهی مخرب بارگذاری شده بهعنوان یک دربپشتی طراحی شده است و اطلاعات صفحات و URLهای بازشده توسط کاربران را جمعآوری کرده و از طریق سرور کنترل و فرمان به مهاجم میفرستد.
این افزونه میتواند فعالیتهای دیگری مانند کلیدهای فشرده شده، آیتمهای انتخاب شده و مقادیر تایپشده در هر فرمی از صفحات وب را نیز جمعآوری کنند.
