Банковский троян Chaes взламывает Google Chrome вредоносными расширениями

Банковский троян Chaes взламывает Google Chrome вредоносными расширениями

Банковский троян Chaes взламывает Google Chrome вредоносными расширениями

Крупная кампания, в которой участвуют более 800 взломанных WordPress-сайтов, распространяет банковский троян, ворующий учётные данные клиентов кредитных организаций. Вредонос получил имя Chaes, о его атаках рассказали специалисты антивирусной компании Avast.

По словам исследователей, операторы трояна распространяют его с конца 2021 года. Взламывая сотни веб-ресурсов, злоумышленники добавляют на них вредоносные скрипты, приводящие к загрузке Chaes на устройства посетителей.

В этой кампании используется уже избитый приём — просьба установить приложение Java Runtime, которое на деле является фейком. К сожалению, многие пользователя, видимо, до сих пор клюют на такие уловки, иначе объяснить заражение невозможно.

 

На компьютер потенциальной жертвы загружается MSI-установщик, который содержит три JavaScript-файла: install.js, sched.js и sucesso.js. Эти «три брата» подготавливают среду Python для дальнейшей компрометации.

Скрипт с именем sched.js создаёт задачу в «Планировщике заданий» и объект автозапуска, таким образом обеспечивая вредоносу плотное закрепление в системе. Файл sucesso.js, как можно понять из его имени, отвечает за передачу командному серверу (C2) информации об успешной установке или о сбое.

А вот скрипт install.js гораздо интереснее своих собратьев, поскольку он может выполнять следующие действия:

  • Проверять интернет-соединение (используя google.com).
  • Создавать директорию %APPDATA%\\\\extensions.
  • Загружать защищённые паролями архивы python32.rar, python64.rar и unrar.exe в упомянутую выше директорию.
  • Записывать путь этой папки в HKEY_CURRENT_USER\\Software\\Python\\Config\\Path.
  • Собирать информацию о системе.
  • Выполнять команду unrar.exe с аргументами для распаковки python32.rar и python64.rar.
  • Подключаться к командному серверу и загружать оттуда зашифрованные пейлоады.

 

Заключительным этапом вредонос устанавливает вредоносные Chrome-расширения. В отчёте Avast перечислены эти аддоны:

  • Online – снимает цифровой отпечаток жертвы и создаёт ключ реестра.
  • Mtps4 – подключается к C2-серверу и ждёт входящих PascalScript. Также может снимать скриншоты и отображать их во весь экран, чтобы скрыть вредоносную активность.
  • Chrolog – крадёт пароли из Google Chrome.
  • Chronodx – представляет собой загрузчик и банковский JS-троян. Работает незаметно и ждёт запуска Chrome.
  • Chremows – крадёт учётные данные от торговых онлайн-площадок.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Лишь четверть разработчиков внедрили сквозной DevTestSecOps-конвейер

Согласно исследованию ИАА Telecom Daily и ИТ-экосистемы «Лукоморье», несмотря на стремительный рост интереса к практикам DevOps, DevSecOps и DevTestSecOps, лишь четверть разработчиков внедрила полноценный сквозной DevTestSecOps-конвейер.

Исследование проходило с 1 по 10 сентября 2025 года. В нем приняли участие представители 100 средних и крупных российских компаний — руководители и специалисты ИТ-подразделений, отвечающие за разработку и эксплуатацию программного обеспечения.

По результатам опроса, полноценный DevTestSecOps-конвейер внедрили ровно 25% участников. Более половины компаний уже автоматизировали тестирование безопасности с помощью таких инструментов, как статический (SAST) и динамический (DAST) анализ, а также анализ зависимостей (SCA). CI/CD используют две трети организаций, однако лишь 38% интегрировали в эти процессы комплексные практики безопасности.

Среди компаний, внедривших CI/CD, 80% отметили повышение уровня безопасности выпускаемых продуктов. Каждая вторая организация зафиксировала сокращение числа ошибок и улучшение прозрачности процессов разработки.

Ключевыми проблемами респонденты назвали сложности перехода на альтернативные решения после ухода зарубежных вендоров (37%), высокую стоимость внедрения и поддержки инструментов безопасной разработки (33%), снижение скорости разработки (27%), а также кадровый дефицит и недостаточную зрелость отечественных продуктов (по 22%).

При этом все участники исследования планируют развивать практики DevTestSecOps в ближайшие год-два. Основные ожидания связаны с повышением качества и безопасности продуктов, увеличением гибкости и масштабируемости процессов, а также сокращением затрат на тестирование и эксплуатацию. Особый интерес (45% респондентов) вызывает развитие отечественных экосистемных решений.

Арсен Благов, генеральный директор ИТ-экосистемы «Лукоморье», так прокомментировал результаты исследования:

«Рынок постепенно уходит от разрозненного применения практик — проектирования, тестирования, анализа и поддержки — к стремлению объединить их в единую логичную цепочку. Конвейеризация становится способом синхронизировать команды, ускорить Time-to-Market и сделать процессы прозрачными как для разработки, так и для бизнеса. Проблем и вызовов по-прежнему немало: интеграция инструментов, нехватка сквозной аналитики, сопротивление изменениям внутри команд — всё это тормозит развитие. Но тенденция очевидна: компании начинают воспринимать CI/CD не как набор скриптов, а как архитектурную основу зрелой разработки».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru