Киберпреступники разрабатывают вредоносное кроссбраузерное расширение

Киберпреступники разрабатывают вредоносное кроссбраузерное расширение

Trend Micro сообщает об обнаружении вредоносной программы, устанавливающей в систему RAT-инструмент Revisit, который используется для получения контроля над зараженной системой, а также устанавливающей вредоносное расширение, которое крадет хранящуюся в браузерах информацию.

«Мы обратили внимание на несколько тестовых загрузок на VirusTotal, которые, судя по всему, были сделаны группой разработчиков вредоносных программ из Молдовы. Такой вывод мы сделали на основании имен загруженных файлов», — пишет компания в своем блоге.

«Похоже, что эти киберпреступники работают над новой вредоносной программой, которая распространяется через спам-сообщения, в которых содержится вредоносное вложение. Мы детектируем эту вредоносную программу как JS_DLOADR и W2KM_DLOADR».

Использование RAT-инструмента во вредоносной кампании — далеко не новый способ, стоит вспомнить хотя бы злореда TeamSpy, который устанавливал на зараженный компьютер TeamViewer.

Что касается нового вредоноса, которому Trend Micro присвоила имя DLOADR, то специалисты не без оснований полагают, что он все еще находится в стадии разработки.

«Есть факты, указывающие на то, что вредоносная программа находится в стадии разработки. Одним из таких фактов являются имена файлов: TEST1234.docm, Employment Application(2).dotm, tewst123.dotm, test2.docm, 123.doc, test1111.docm, t1.docm, INVOICE.docm, Invoice_Example.dotm, Doc1.docm, Fake Resume.doc, wwww.doc и zzzzz.dot», — объясняют эксперты.

Программа загружает ZIP-архив, распаковывает его и выполняет его содержимое. Исследвоатели сообщают, что наблюдали два варианта пейлоада — один основан на NodeJS, другой на Java.

Отличительной особенностью данного зловреда является деплоинг (развертывание) на зараженных машинах вредоносных расширений для браузеров Chrome и Edge. Наличие этих браузеров в системе проверяет специальный компонент DLOADR.

Примечательно, что расширение для Chrome также совместимо с Edge, здесь злоумышленникам сыграло на руку принятое Microsoft решение, позволяющее портировать Chrome-расширение в Edge.

Злонамеренное расширение действует как бэкдор — всякий раз, когда жертва открывает веб-страницу, оно отправляет URL-адрес веб-сайта и информацию о HTTP-реферере на сервер C&C. C&C затем возвращает любой вредоносный код, который расширение выполнит на странице.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Лаборатория Касперского подала на Apple жалобу из-за Kaspersky Safe Kids

«Лаборатория Касперского» подала антимонопольную жалобу на Apple. Суть претензий заключается в излишне жестком подходе американской корпорации к функционированию своего официального магазина приложений App Store, а также к правилам для сторонних приложений.

Представители российской антивирусной компании считают, что Apple использует свое чрезмерное влияние на App Store, а также на систему iOS в целом. Это привело к тому, что американская корпорация заставила разработчиков исключить две важные функции из приложения Kaspersky Safe Kids для системы iOS.

Kaspersky Safe Kids предназначено для защиты детей, использующих iPhone или iPad — приложение способно контролировать использование системы, а также блокировать браузер Safari.

«Лаборатория Касперского» уверена, что Apple пошла на ограничение функционала Kaspersky Safe Kids из-за угрозы потенциального конкурирования с реализованной в iOS 12 функцией «Screen Time», которая оповещает пользователя о чрезмерном использовании устройства и контролирует его активность.

Представители антивирусного вендора опубликовали в блоге пост, в котором, помимо прочего, утверждается, что разработчикам других похожих приложений — AdGuard и Kidslox — также запретили реализацию некоторых функций.

Таким образом, «Лаборатория Касперского» делает вывод, что Apple будет пресекать любые попытки конкуренции сторонних приложений с «родными» функциями своей системы iOS.

«Устанавливая такие правила, Apple чрезмерно усиливает свое влияние на рынок в обход других производителей и разработчиков», — пишут представители антивирусной компании.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru