Groźny backdoor w rozszerzeniu do przeglądarki

W ostatnich dniach w serwisie VirusTotal pojawiła się znacząca liczba próbek nowego złośliwego oprogramowania, co może wskazywać na testowanie jego wykrywalności przez autorów. Złośliwy kod, zawarty w dokumencie, udającym fakturę, instaluje… niezłośliwy program, służący do uzyskiwania pełnego dostępu do komputera (używany np. przez zdalne wsparcie użytkownika). Z drobną różnicą – w przypadku malware’u program uruchamia się w tle (jego aktywność ukrywana jest przez malware), dając napastnikowi pełen dostęp do komputera ofiary.
Dodatkowo, testowany kod instaluje również bez wiedzy użytkownika złośliwe rozszerzenie w przeglądarce. Rozszerzenie działające zarówno w Google Chrome, jak i w Microsoft Edge pełni rolę backdoora. W efekcie po otwarciu strony URL i HTTP referrer przesyłane są do serwera Command&Control. W odpowiedzi atakujący może wstrzyknąć do przeglądarki ofiary dowolny kod i np. przejąć dane logowania do banku. Rozszerzenie rozpoznaje także, gdy użytkownik klika przyciski, wybiera informacje z listy rozwijalnej, czy wpisuje informacje na stronie.
Źródło: TrendMicro