Специалисты «Доктор Веб» предупредили, что через скомпрометированные сайты на базе WordPress распространяется фиктивное обновление для Chrome. Так, JavaScript-сценарий, встроенный в код взломанных страниц, перенаправляет посетителей на фишинговую страницу, где им предлагают установить важное обновление безопасности для браузера. Загружаемый файл представляет собой установщик малвари, который позволяет злоумышленникам удалено управлять зараженными компьютерами. На данный момент это «обновление» скачали более 2000 человек.
По данным исследователей, за этой кампанией стоит та же хак-группа, которая ранее была причастна к распространению поддельного установщика популярного видеоредактора VSDC, как через официальный сайт программы, так и с помощью сторонних каталогов. На этот раз хакерам удалось получить административный доступ к CMS ряда сайтов, которые стали использоваться в цепочке заражения. В коды страниц скомпрометированных ресурсов встривают скрипт, который перенаправляет пользователей на фишинговую страницу, маскирующуюся под официальный ресурс Google.
Выборка пользователей осуществляется на основе геолокации и определения браузера пользователя. Целевая аудитория — посетители из США, Канады, Австралии, Великобритании, Израиля и Турции, использующие браузер Google Chrome. Стоит заметить, что скачиваемый файл имеет действительную цифровую подпись, аналогичную подписи фальшивого установщика NordVPN, распространяемого той же преступной группой.
Механизм заражения реализован следующим образом. При запуске программы в директории %userappdata% создается папка, содержащая файлы утилиты для удаленного администрирования TeamViewer, а также выполняется распаковка двух защищенных паролем SFX-архивов. В одном из архивов находится вредоносная библиотека msi.dll, позволяющая установить несанкционированное соединение с зараженным компьютером, и пакетный файл для запуска браузера Chrome со стартовой страницей Google[.]com. Из второго архива извлекается скрипт для обхода встроенной антивирусной защиты OC Windows. Вредоносная библиотека msi.dll загружается в память процессом TeamViewer, попутно скрывая от пользователя его работу.
С помощью этого бэкдора злоумышленники получают возможность доставлять на зараженные устройства полезную нагрузку в виде других вредоносных приложений. Среди них уже были замечены:
- кейлоггер X-Key Keylogger,
- инфостилер Predator The Thief,
- троян для удаленного управления по протоколу RDP.