Исследователь из бразильской ИБ-компании Morphus предупреждает о появлении вредоносного JavaScript-расширения Chrome, нацеленного на кражу учетных данных посредством перехвата запросов HTTP POST.
Ренату Маринью (Renato Marinho) обнаружил нового зловреда в ходе анализа написанного на португальском языке спам-сообщения о неких фото, якобы отосланных получателю через WhatsApp.
Это письмо содержало ссылки, при активации которых на компьютер пользователя загружался вредоносный файл whatsapp.exe. При запуске этот дроппер отображает поддельное окно инсталлятора Adobe PDF Reader. Если пользователь даст разрешение на установку, кликнув по предложенной кнопке, зловред загрузит и распакует zip-архив md18102136.cab размером порядка 9,5 Мбайт, содержащий два файла — md0.exe и md1.exe (по 200 Мбайт каждый).
Анализ бинарников этих исполняемых файлов показал, что полезный объем составляет в них менее 3%, остальные строки — это фиктивные операции, призванные раздуть размер файла. Этот трюк, по мнению Маринью, используется для обхода защитных решений, которые обычно не проверяют крупные файлы.
После запуска md0.exe пытается отключить брандмауэр Windows и принудительно завершить все процессы Google Chrome, которые могут воспрепятствовать установке вредоносного расширения. Затем он извлекает из своего тела JavaScript-плагин и вносит изменения в модуль запуска Chrome (lnk-файл), отключая также предусмотренную в нем защиту с тем, чтобы обеспечить беспрепятственную загрузку зловреда при следующем исполнении браузера.
После запуска вредоносный плагин начинает отслеживать и перехватывать все POST-запросы жертвы, фиксируя URL и строки requestBody. Эти данные шифруются и передаются функции savetofile для отправки на C&C-сервер. Такой подход, по словам Маринью, позволяет воровать конфиденциальную информацию с меньшими трудозатратами в сравнении с более привычными методами. В данном случае зловреду не нужно отслеживать конкретные URL с целью отлова учетных данных. Также нет необходимости заманивать жертву на поддельный сайт с сомнительным SSL-сертификатом или разворачивать локальный прокси-сервер для перехвата интернет-соединений.
Новый зловредный плагин, по мнению исследователя, обречен на успех, так как Chrome позволяет расширениям получать доступ к полям форм с конфиденциальными данными, не испрашивая дополнительно согласие у пользователя. Кроме того, Chrome разрешает расширениям самостоятельно и без огласки устанавливать соединения со сторонними онлайн-объектами, а защиту браузера от вредоносных действий плагинов можно отключить, проставив соответствующий аргумент в командной строке — как в данном случае.