Новая кампания "RolandSkimmer" атакует пользователей кредитных карт через вредоносные расширения браузеров

Атака начинается с распространения ZIP-архива, содержащего LNK-файл (ярлык), который при запуске выполняет скрытый скрипт. Этот скрипт перенаправляет жертву на сервер злоумышленников, где загружается и исполняется вредоносный код. После проникновения в систему злоумышленники проводят разведывательные действия, собирая данные о системе, проверяя наличие установленных браузеров и определенных папок. Это позволяет им адаптировать атаку под конкретную конфигурацию устройства.

Следующим этапом становится загрузка дополнительных файлов, включая конфигурации вредоносных расширений и скрипты. Эти файлы дешифруются и сохраняются на компьютере жертвы, после чего злоумышленники настраивают вредоносное расширение в одном из браузеров. Расширение играет ключевую роль в атаке, обеспечивая механизм сохранения в системе и последующую утечку данных.

Особую опасность представляет стратегия маскировки, которую используют злоумышленники. Вредоносное расширение притворяется инструментом для обхода защиты CSP (Content Security Policy) веб-сайтов, что может ввести в заблуждение даже опытных пользователей. При этом оно запрашивает широкие разрешения, включая возможность перехватывать и изменять сетевые запросы, управлять вкладками и манипулировать данными браузера. Такие права позволяют злоумышленникам перехватывать вводимые пользователем данные, включая номера кредитных карт, CVV-коды и другую конфиденциальную информацию.

По данным исследователей, основная цель атаки - пользователи из Болгарии, однако нельзя исключать, что кампания может распространиться и на другие страны. Учитывая сложность механизма заражения и использование социальной инженерии, "RolandSkimmer" представляет серьезную угрозу для безопасности финансовых данных.

Эксперты рекомендуют пользователям соблюдать осторожность при открытии вложений из непроверенных источников, регулярно обновлять браузеры и антивирусное ПО, а также проверять список установленных расширений на предмет подозрительных элементов. Кроме того, стоит ограничивать разрешения для расширений, отключая ненужные функции, особенно те, что связаны с доступом к личным данным и сетевой активности.

Киберпреступники постоянно совершенствуют свои методы, и атака "RolandSkimmer" - еще одно доказательство того, что даже продвинутые пользователи могут стать жертвами изощренных схем. Внимательность и соблюдение базовых правил кибергигиены остаются ключевыми мерами защиты от подобных угроз.

Domains

• bg3dsec.com
• exmkleo.com
• fzhivka-001-site1.btempurl.com
• invsetmx.com
• kleoti-001-site1.htempurl.com
• mgproperties-001-site1.itempurl.com
• rinootracebg-001-site1.etempurl.com
• topclima-001-site1.itempurl.com
• zzigi20-001-site1.atempurl.com

SHA256

• 4a852420ca4a32d9ade0a50b8e24d6fc4886151c44477a62ee961ce880b1f8d2
• 5810cbdd316eb37ad49ab277604209deb73306c5254eac39164ae626e5aadf6c
• 7086f0ec83dab46aaaecbc459275d7df4e32f50d950047a9235dfccb3da9b9e0
• 80e0aa05ffd973decf9b7f435c5a44574e4c8314c152c7a09e00c821828fe515
• 86fedcd08d32eeff8a4caa9c2d4ae65b6cea89698570e8ce172a4e82c7f296f1
• c02d73011204637141fdcc4240b65896b7624508eb116543acfbe3bf7fa29eb4
• cd6180a612852167a2a1b6c456618a3716d040c163a63e50c17236660e4e7e53
• e0898e5d1f71bb0311ddfdef9697f684da6da701ad36ab8107dcb5d5e438838d
• e30eecb53e4b03cfada8791877c3c67e009d25bb4d57f01f9eb7cd1121ac1908