Кампания "RolandSkimmer" является последней волной атак на скимминг кредитных карт, использующей вредоносные расширения для браузеров Chrome, Edge и Firefox.
Описание
Атака начинается с обманчивого LNK-файла, содержащего скрипты для получения скрытого доступа и сбора финансовых данных. Злоумышленник распространяет вредоносный ZIP-файл и после его извлечения пользователи сталкиваются с файлом ярлыков. При запуске ярлык скрытно выполняет скрипт, который перенаправляет пользователя на сервер злоумышленника, где выполняются вредоносные команды.
Затем злоумышленник проводит разведывательные действия, собирая информацию о системе и проверяя наличие определенных папок и браузеров. Затем он загружает дополнительные файлы с конфигурациями расширений и вредоносными скриптами. Дешифрованное содержимое сохраняется на компьютере пользователя и используется для настройки вредоносного расширения браузера. Это расширение служит критическим компонентом в цепочке заражения, механизма сохранения и процесса утечки данных.
Злоумышленники используют обманную стратегию именования расширения, чтобы скрыть его вредоносные намерения. Расширение притворяется обходом защиты CSP веб-сайтов. Оно запрашивает широкий набор разрешений, позволяющих оно перехватывать и изменять сетевые запросы, манипулировать или удалять данные браузера и управлять просмотром вкладок.
В итоге, атака "RolandSkimmer" представляет серьезную угрозу безопасности пользователей кредитных карт в Болгарии.
Indicators of Compromise
Domains
- bg3dsec.com
- exmkleo.com
- fzhivka-001-site1.btempurl.com
- invsetmx.com
- kleoti-001-site1.htempurl.com
- mgproperties-001-site1.itempurl.com
- rinootracebg-001-site1.etempurl.com
- topclima-001-site1.itempurl.com
- zzigi20-001-site1.atempurl.com
SHA256
- 4a852420ca4a32d9ade0a50b8e24d6fc4886151c44477a62ee961ce880b1f8d2
- 5810cbdd316eb37ad49ab277604209deb73306c5254eac39164ae626e5aadf6c
- 7086f0ec83dab46aaaecbc459275d7df4e32f50d950047a9235dfccb3da9b9e0
- 80e0aa05ffd973decf9b7f435c5a44574e4c8314c152c7a09e00c821828fe515
- 86fedcd08d32eeff8a4caa9c2d4ae65b6cea89698570e8ce172a4e82c7f296f1
- c02d73011204637141fdcc4240b65896b7624508eb116543acfbe3bf7fa29eb4
- cd6180a612852167a2a1b6c456618a3716d040c163a63e50c17236660e4e7e53
- e0898e5d1f71bb0311ddfdef9697f684da6da701ad36ab8107dcb5d5e438838d
- e30eecb53e4b03cfada8791877c3c67e009d25bb4d57f01f9eb7cd1121ac1908
