Вредоносное ПО от Google Chrome с новым паролем и шифрованием файлов cookie

Ионут Илашку
  • 10 марта 2020 г.
  • 03:32
  • 1

Вредоносное ПО от Google Chrome с новым паролем и шифрованием файлов cookie

Добавление Google алгоритма AES-256 для шифрования файлов cookie и паролей в браузере Chrome оказало незначительное влияние на инфостилеров.

Столкнувшись с угрозой срыва их бизнеса, разработчики вредоносных программ, которые крадут данные из веб-браузеров, быстро обновили свои инструменты, чтобы преодолеть препятствие, многие из их предложений подчеркивали поддержку нового Chrome.

Даже AZORult, оставленный его первоначальным автором в 2018 году, получил обновления кода от актеров, которые продолжили проект, чтобы сделать его совместимым с Chrome 80

Новое информационное программное обеспечение, пытающееся заработать свои полосы на форумах по киберпреступности, также воспользовалось этой возможностью, будучи рекламированным с готовой поддержкой нового уровня шифрования, добавленного в Google Chrome.

До Chrome 80

Google выпустил Chrome 80 в начале февраля, и до его выпуска файлы cookie и пароли в Windows шифровались с помощью встроенного в операционную систему DPAPI.

Raveed Laeb, менеджер по продуктам в компании по кибер-разведке KELA, сказал BleepingComputer, что Chrome все еще использует старый метод, но добавил новый слой поверх него.

Однако данные сначала шифруются с использованием стандарта AES, а ключ затем шифруется с использованием функции DPAPI CrypProtectData. Возврат процесса и получение ключа AES-256 выполняется с помощью функции CryptUnprotectData.

Отвечая BleepingComputer, Google объяснил причину этого изменения, которое ненадолго затронуло инфостилеров:

«В M80 мы внесли изменения, которые позволят нам изолировать сетевой стек Chrome в его собственный надежный процесс« песочницы ». В рамках этих изменений мы изменили алгоритм для зашифрованных паролей / файлов cookie и изменили механизмы хранения, что также нарушило работу этих данных. воры в настоящее время полагаются на ".

Незначительный удар по вредоносному ПО

Несмотря на то, что Chrome, добавив шифрование AES для файлов cookie и паролей, вызвал колебания в мире вредоносных программ, для большинства вредоносных инструментов это недолгое воздействие.

Вскоре после появления нового Chrome были публично объявлены обновления как минимум для четырех инфостилеров, которые адаптировались к новому механизму и без проблем собрали защищенную информацию.

Читайте также

  • Как Настроить Вай Фай На Модеме Хуавей
    Современный ADSL модем Huawei HG532E употребляется на сети у многих провайдеров в Рф, Белоруссии, Украины и Казахстана. Посреди огромнейших. Ростелеком, МТС, МГТС, Укртелеком и ByFly. За Данный временной срок он показал себя как надёжное и высококаче...
  • Айфон Выключился И Не Включается Но Заряжается
    Гениальность неких людей опровергать бесконечно. Чего только стоит Джобс, который задал стандарт всему миру, в силу устройств. От установленных канонов уже целое десятилетие не способна отступить ни какой производитель. Однако что остается сделать на...
  • Исследователи нашли самое высокое дерево в Амазонке
    Дерево может хранить столько же углерода, сколько и целый гектар тропического леса. Исследователи обнаружили самое высокое известное дерево в Амазонии, возвышающееся на высоте 290 ноги (88,5 метров) хранит столько же углерода, сколько целый гектар тр...
  • Apple Watch приписывают спасение жизни человека, у которого по незнанию было серьезное заболевание сердца —
    Есть причина, из-за чего некоторые компании по страхованию жизни начали субсидировать Apple Watch для своих клиентов: проще говоря, это устройство помогает спасать жизни. Совсем недавно владелец Apple Watch по имени Хорхе Фрейр-младший рассказал, как...
  • Как Обновить Ipad 4 До Ios 11
    Как перейти на iOS 9 на iPhone, iPad как еще его называют iPodApple выпустит iOS 9 как бесплатное системное ПО для компьютера для iPhone и iPad, когда вашему гаджету менее двух лет, можно без проблем получить некоторые как еще его называют что остает...
  • Facebook Новые пользователи Messenger должны зарегистрироваться на Facebook, чтобы зарегистрироваться
    Если вы новичок в Facebook Messenger, вы нет возможности зарегистрироваться без учетной записи Facebook чем просто.В противоположность прежних времен, когда вашего телефонного номера было достаточно, теперь Facebook Messenger требуется учетная запись...

Автор инфостилера KPot опубликовал через четыре дня после появления нового Chrome, что они выяснили алгоритм и внедрили исправление в инструменте.

В последующем сообщении в тот же день они объявили, что обновленная версия была доступна для 90.

Авторы Raccoon, инфостилера, который может получить данные почти из 60 приложений. включая все популярные веб-браузеры. объявили, что им тоже удалось обойти новый уровень безопасности в Chrome 80.

В обновлении их инструмента четко указана поддержка последней версии браузера от Google, и что новые функции станут доступны с новой сборкой Raccoon.

Выпуск обновления не повлияет на старые сборки, которые будут продолжать работать так, как было задумано изначально.

Разработчики, внедряющие новые инструменты в игру, воспользовались возможностью, чтобы привлечь внимание, продвигая поддержку Chrome 80. Укрытие от KELA обнаружило рекламу на российском форуме по киберпреступности для Redline, новичка на сцене инфостилеров.

«Важно отметить, что Redline очень новый. Он продается только после нового обновления Chrome и, следовательно, не имеет большой репутации». сказал Леб BleepingComputer.

Вполне вероятно, что авторы использовали обновление Chrome в качестве точки продажи, поскольку оно было представлено с поддержкой новой версии браузера.

AZORult не умер, просто в подвешенном состоянии

AZORult, один из 10 самых активных видов вредоносного ПО в 2019 году, также последовал его примеру.

Оставленный без присмотра его первоначальным автором в декабре 2018 года, проект AZORult был подхвачен различными авторами и продолжает действовать по сей день.

Genesis, один подземный магазин для данных браузеров, продолжал использовать оригинальную версию вредоносного ПО и понес серьезные потери, когда появился Chrome 80, что было обнаружено исследователями KELA в конце февраля.

Считается, что администраторы Genesis управляют бизнесом вредоносного ПО как услуги, распространяя оригинальную версию AZORult и продавая собранные данные через свой рынок.

Читайте также

  • Как Снять Графический Ключ С Телефона Zte
    ZTE Blade A5 Сброс графического пароля (Hard Reset)1. Отключите телефон, потом сразу зажмите кноку Громкость ввысь и Кнопку Включения. 5. После появле.ZTE Blade A3 Разблокировка Снятие графического ключа HARD RESETТут для вашей компании найдется: вер...
  • Прошить Fly Fs501 На Андроид 5 0
    Fly — довольно популярный и узнаваемый бренд Это неудивительно, ведь компания выпускает недорогие модели устройств по приемлемой для российского человека цене. Даже в недалёком 2014 году компания умудрилась выйти на второе место отдела сбыта , остави...
  • Установка Windows На Imac
    Установка Windows 7 на Macbook и iMacКомпы Mac отличаются высокой надежностью аппаратного обеспечения и по дефлоту снабжены, как говорят в Apple, самой совершенной операционной системой OS X. Все же, для определенного круга задач Для вас все-же может...
  • Компьютер не отвечает на мышь, что делать
    Почему мышь не работает на компьютере или ноутбуке. Причины и решенияПричины, по которым мышь может не работатьПрограмное обеспечениеПроблемы программного обеспечения включают в себя: Проблемы с вредоносным ПО, неисправность или повреждение драйвера,...
  • Google по сообщениям работает над новым Chromecast Ultra с Android TV
    Что тебе нужно знать 9to5Google сообщает, что Google работает над новым Chromecast Ultra. Говорят, что он очень похож на текущий Chromecast третьего поколения и поддерживает потоковую передачу 4K HDR. Большая разница в том, что он будет работать под ...
  • POCO X2 MIUI Обновление программного обеспечения MIUI 11
    В прошлом месяце POCO выпустила смартфон POCO X2 в Индии, используя MIUI 11.0 Global Stable поверх Android 10. POCO X2. это обновленная версия Redmi K30 4G, выпущенная в Китае еще в декабре.Этот пост поможет нашим читателям следить за обновлениями MI...

«Это бизнес-модель, которую мы видим постоянно расширяющейся в течение последних двух лет или около того, поскольку она позволяет им быть очень масштабируемыми и распространять сотни тысяч инфекций». Raveed Laeb, менеджер по продукции в KELA

Многие считали, что последний день AZORult наступил, и бросились писать некролог, объяснив это тем, что Google добавил в Chrome.

Версия 3.3.1 должна была быть последней, которую мы видели в AZORult. Но некоторые субъекты угроз имели другой план и поддерживали вредоносное ПО через множество ответвлений.

Они не были получены от проверенных разработчиков, однако, и получили мало тяги. Киберпреступники опасались использовать их из-за страха быть подделанными.

Впервые об AZORult было сообщено в мае 2019 года, и недавно было замечено объявление о версии вредоносного ПО 3.4.

Существует несколько вариантов этого инфостилера, и один из них может похвастаться совместимостью с Chrome 80, обновленным не так давно.

Эта версия была анонсирована в начале марта. Эта версия, полученная из негласного источника, не получила широкого распространения, несмотря на дурную славу AZORult, но могла использоваться в небольших кампаниях.

Chrome 80 действительно всколыхнул воды инфостилеров, но большинство из них обнаружили, как довольно быстро работать с добавленным уровнем шифрования. Активность вредоносных программ этого типа вряд ли скоро снизится.

Фактически исследователи из IBM X-Force Threat Intelligence сообщили о новой кампании по доставке Raccoon с помощью нового варианта мошенничества с сексторцией.

You may also like